Perché gli audit degli exchange Bitcoin T sono sufficienti

Gli esperti che li hanno esaminati affermano che gli exchange Bitcoin hanno ancora molta strada da fare per dimostrare la loro buona reputazione ai clienti, ma le soluzioni sono dietro l'angolo.

La settimana scorsa

, CoinDesk ha esplorato lo scambio Bitcoin Il krakene ti ha mostrato come l'azienda ha fatto del suo meglio per dimostrare di possedere i bitcoin che dichiarava di possedere.

Il luminare Bitcoin Stefan Thomas ha utilizzato prove crittografiche per confermare che l'exchange statunitense T sarebbe stato colto di sorpresa da una corsa agli acquisti di bitcoin e che T si sarebbe trovato improvvisamente in imbarazzo, in stile Mt. Gox, nello scoprire che un hacker aveva segretamente rubato le sue monete.

Il Kraken ha superato l'ispezione a pieni voti, comeavere altri. Ma le ispezioni sono andate abbastanza lontano? Quanto dovrebbe essere approfondita una verifica e cos'altro dovrebbe coprire?

Perché sono necessari miglioramenti

L'audit condotto da Thomas si è concentrato su quanti bitcoin possedeva l'exchange e quanti ne doveva ai clienti. In un ambiente di exchange legittimo, i primi dovrebbero essere maggiori dei secondi.

L'audit di Kraken è avvenuto in seguito a una serie di attività in seguito al fiasco di Mt Gox, in cui gli exchange si sono mobilitati per rassicurare i clienti di essere in possesso dei bitcoin dichiarati.

"È una reazione a Mt Gox", dice Thomas. La società, che ha sospeso i prelievi e poi ha dichiarato di aver perso centinaia di migliaia di bitcoin, ha lasciato dietro di sé utenti arrabbiati.

In passato le cose andavano anche peggio, ha raccontato Thomas a CoinDesk, affermando:

"Ricordo quando questi servizi erano gestiti in forma anonima e si verificò il disastro di MyBitcoin.com, da allora quasi ONE utilizzò più un servizio gestito in forma anonima."

Questo era un riferimento al portafoglio gestito in modo anonimo cheha affermato di aver persopoco più della metà dei bitcoin dei suoi utenti.

Ha aggiunto: "In futuro, le persone T utilizzeranno più exchange che T consentono alcuna forma di verifica".

Queste ispezioni hanno rappresentato un tentativo, con il massimo impegno, di ottenere qualcosa di tangibile in tempi brevi, ma è improbabile che rappresentino la soluzione definitiva.

Quando un audit non è un audit?

Jesse Powell, CEO di Kraken, afferma che sta già pianificando di dare seguito alla verifica iniziale del suo exchange nel NEAR futuro.

[post-citazione]

Un portavoce di Coinbase, che ha anch'essa effettuato un'ispezione esterna delle sue riserve Bitcoin , ha aggiunto che anche la società sta conducendo ispezioni di follow-up più approfondite.

Cosa dovrebbero riguardare tali ispezioni e cosa è stato omesso la prima volta? Possiamo Imparare molto da Andreas Antonopoulos, Chief Security Officer di Blockchain, che è stato chiamato a ispezionare le riserve Bitcoin di Coinbase a febbraio.

"Audit"T è una parola da buttare via, ha detto Antonopoulos, che T si riferiva specificamentealla sua ispezione come verifica contabile la prima volta.

Lui preferisce chiamarlo controllo a campione, aggiungendo: "Ho usato volutamente un linguaggio meno forte, perché nella mia mente un audit è molto più completo e rigoroso. Se vedi un audit che dura meno di tre o quattro settimane, T è un audit."

"[Durante un audit] effettuano visite nei siti e dispongono di team per creare un rapporto completo e per approvarlo."

Implementazione di audit completi

Un audit adeguato T si concentrerebbe esclusivamente sulle riserve Bitcoin , ha continuato Antonopoulos, sostenendo che sono tre le aree principali che un audit soddisfacente di uno scambio di Bitcoin richiederebbe:

• Riserve di Bitcoin

La verifica delle riserve Bitcoin dimostra che l'exchange possiede i bitcoin che dichiara di avere.

• Operazioni Fiat

Uno scambio senza scrupoli senza abbastanza bitcoin per coprire i conti dei suoi clienti potrebbe semplicemente comprarne altri con dollari o un'altra valuta, e nascondere eventuali lacune nei suoi conti semplicemente spostando denaro da valute legali a Bitcoin e viceversa. I revisori di uno scambio Bitcoin idealmente fiatrebbero i conti legali della società per individuare se ciò sta accadendo.

• Sicurezza

Un controllo degli attuali sistemi di sicurezza informatica dell’azienda confermerebbe che nulla è stato hackerato in modo visibile.

Tuttavia, questi punti da soli non soddisfano i criteri di Antonopoulos per un vero audit.

Le aziende T restano ferme e un audit appropriato includerebbe un elemento di future proofing. Quindi, divide ciascuna di queste tre aree in altre due aree: controlli immediati e forward governance.

Ciò ci fornisce una struttura come ONE (nella foto), che, ha affermato, qualsiasi audit Bitcoin veramente completo avrebbe:

Ci sono sfide sia nel controllo a campione che nelle aree di governance. Per cominciare, un audit Bitcoin veramente completo dovrebbe abbracciare più discipline.

Ci sono molti bravissimi esperti di tecnologia Bitcoin nel mondo, e ci sono molti bravi contabili, ma T c'è molta sovrapposizione.

"È un'attività che potrebbe generare molti ricavi e creare un servizio utile per il settore", ha affermato Antonopoulos. "Sarebbe un'attività che combina CPA e revisori finanziari, revisori della sicurezza per la sicurezza informatica e la conoscenza delle valute crittografiche, e sarebbe in grado di effettuare audit specializzati per questo tipo di attività".

Al momento, tuttavia, si tratta di qualcosa che gli exchange devono arrangiare autonomamente.

Jesse Powell, che ha affermato di stare lavorando a delle verifiche che coprano il lato fiat della sua attività, ha elaborato le idee di Antonopoulos:

"L'azienda dovrebbe avere una solida conoscenza indipendente di Bitcoin, Cripto, la capacità di rivedere il codice o scriverne uno proprio, essere consapevole delle opportunità per entrambe le parti di compromettere l'audit e avere la capacità di prevenire tali compromessi. Tradizionalmente, questo set di competenze non è ciò per cui sono note le società di contabilità".

Il futuro audit di Kraken terrà conto di queste questioni. La società sta lavorando per un audit basato su fiat, ha detto, spiegando:

"Il ONE sarà completo, includendo tutte le criptovalute e le valute fiat. A seguire ci saranno altri tipi di audit sulla società nel suo complesso, [incluso] il team di gestione, la sicurezza, ETC."

Coinbase ha anche confermato che per il suo prossimo audit si concentrerà sui controlli sia delle valute fiat che Criptovaluta .

Questa sfida è abbastanza scoraggiante per gli scambi che cercano di far crescere il loro business e di gestire una pletora dinormativo e ostacoli tecnici. E questa è solo ONE nel tempo. Gli audit dovrebbero essere eseguiti ripetutamente per garantire che le aziende rimangano conformi.

Perché gli scambi hanno bisogno di controlli ripetuti

Allo stato attuale, la prova delle riserve di Kraken e Coinbase sta invecchiando: sono istantanee scattate nel passato. Più vecchie diventano, meno rilevanti sono. Controlli ripetuti KEEP a convalidare l'exchange, il che assicura ai clienti che i loro fondi sono al sicuro.

Tuttavia, c'è un altro motivo per cui gli audit dovrebbero essere ripetuti, afferma Thomas: far sì che gli audit successivi siano gestiti da soggetti diversi riduce la necessità di riporre fiducia in ONE esperto, come lui stesso.

"Il modo in cui si ottiene fiducia in questi audit è che vengono ripetuti da persone diverse. Sembra essere meno probabile che lo scambio menta o corrompe l'auditor."

A tal fine, ha deciso di non effettuare alcun audit di follow-up per Bitfinex o Kraken, perché vuole incoraggiare le aziende a utilizzare altri auditor terzi. Sebbene non ne abbia pianificato nessuno al momento, è comunque felice di condurre audit per altri exchange.

Esistono modi per aumentare l'impatto continuo di un audit, garantendo una buona governance; questo può essere fatto in diverse aree di audit evidenziate qui.

Per quanto riguarda la sicurezza informatica, i programmi white-hat sono sicuramente modi lodevoli per trovare bug del software, ma è anche importante verificare che le aziende abbiano sufficienti controlli in atto per evitare di essere hackerate in futuro. Esistono standard consolidati per questo, comeCertificazione ISO 27000serie, eCOBIT.

Per quanto riguarda le riserve Bitcoin , dovrebbe essere possibile effettuare controlli a campione automatici e regolari, aggiornati automaticamente ogni giorno, ha suggerito Antonopoulos.

Uno scambio potrebbe eseguire automaticamente l'hashing delRadice di merkleper il suo cold storage, per creare una prova dei suoi asset: i bitcoin che ha in mano.

Potrebbe anche eseguire l'hashing del saldo degli account utente per creare una radice Merkle per i bitcoin detenuti negli account dei suoi clienti, il che costituirebbe una prova di responsabilità.

Queste due radici di Merkle potrebbero quindi essere confrontate tra loro.

Ma come farebbero gli utenti a controllare automaticamente che i loro saldi fossero inclusi nella prova delle passività? Potrebbero usare la stessa funzionalità implementata durante l'audit di Kraken, tramite la quale gli utenti possono controllare personalmente che il loro indirizzo sia stato incluso nell'albero che ha creato la radice di Merkle.

Automatizzare il processo

Il problema è che attualmente gli utenti di uno scambio devono essere tecnicamente abili a svolgere questi controlli, il che significa che molti di loro non T faranno. Invece, questo controllo potrebbe essere svolto per loro tramite software verificato in modo indipendente, ha affermato Antonopoulos:

"ONE delle cose che potremmo voler vedere nel settore è essenzialmente un widget molto più user-friendly. Immaginiamo di avere un widget JavaScript di terze parti che si apre all'interno della pagina da un servizio di terze parti, che esegue il controllo delle Cripto Per te. Ottieni un segno di spunta verde con il saldo."

La comunità Bitcoin T resta ferma a lungo e almeno ONE di questi sistemi esiste giàQuesto sistema di prova di solvibilità può essere inserito negli scambi per offrire sia la prova di responsabilità che la prova di solvibilità,dice il suo creatore.

E sì, esiste un widget basato sul browser progettato per verificare automaticamente che il saldo di un utente sia stato incluso in un hash che rappresenta le passività di uno scambio.

Gli exchange Bitcoin che hanno cercato di rassicurare i clienti in questo modo stanno procedendo nella giusta direzione, ma condurre un audit finanziario è un compito arduo quando si è una nuova organizzazione che ha a che fare con una classe di attività completamente nuova che molti contabili T capiscono nemmeno.

Speriamo che presto altri exchange si facciano avanti per dimostrare non solo le loro riserve Bitcoin , ma anche la loro buona governance in altre aree. Come la rete Bitcoin e l'ecosistema aziendale stesso, la capacità degli exchange di dimostrare la loro buona reputazione ai clienti rimane un work in progress.

Utensiliimmagine tramite Shutterstock