Por que as auditorias de câmbio de Bitcoin T vão longe o suficiente

As bolsas de Bitcoin ainda precisam provar sua boa reputação aos clientes, dizem os especialistas que as inspecionaram – mas as soluções estão logo ali.

Semana passada

, CoinDesk explorou a bolsa de Bitcoin Kraken, e mostrou como a empresa fez o melhor que pôde para provar que possuía os bitcoins que alegava.

O luminar do Bitcoin Stefan Thomas usou provas criptográficas para confirmar que a bolsa dos EUA T seria pega de surpresa se houvesse uma corrida em seus bitcoins, e que T ficaria subitamente envergonhada, ao estilo Mt. Gox, ao descobrir que um hacker estava secretamente roubando suas moedas.

Kraken passou na inspeção com louvor, comotem outros. Mas as inspeções foram longe o suficiente? Quão profunda deve ser uma auditoria e o que mais ela deve cobrir?

Por que melhorias são necessárias

A auditoria que Thomas conduziu focou em quantos bitcoins a exchange possuía e quantos ela devia aos clientes. Em um ambiente de exchange legítimo, o primeiro deve ser maior que o último.

A auditoria da Kraken ocorreu após uma onda de atividades após o desastre da Mt Gox, na qual as exchanges se mobilizaram para garantir aos clientes que tinham os bitcoins que alegavam ter.

"É uma reação à Mt Gox", diz Thomas. A empresa, que suspendeu saques e então disse que havia perdido centenas de milhares de bitcoins, deixou usuários furiosos em seu rastro.

As coisas costumavam ser ainda piores, disse Thomas ao CoinDesk, afirmando:

"Lembro-me de quando esses serviços eram executados anonimamente e a calamidade do MyBitcoin.com aconteceu, e então quase ONE mais usava um serviço executado anonimamente."

Esta foi uma referência à carteira operada anonimamente quealegou ter perdidopouco mais da metade dos bitcoins de seus usuários.

Ele acrescentou: "No futuro, as pessoas T usarão bolsas que T permitam qualquer forma de auditoria."

Essas inspeções foram uma tentativa de entregar algo tangível em um curto espaço de tempo, mas é improvável que sejam a solução definitiva.

Quando uma auditoria não é uma auditoria?

Jesse Powell, CEO da Kraken, diz que já está planejando uma continuação da auditoria inicial de sua exchange em um futuro NEAR .

[post-citação]

Um porta-voz da Coinbase, que também realizou uma inspeção terceirizada de suas reservas de Bitcoin , acrescentou que também está conduzindo inspeções de acompanhamento mais abrangentes.

O que essas inspeções devem cobrir e o que foi omitido na primeira vez? Podemos Aprenda muito com Andreas Antonopoulos, Chief Security Officer da Blockchain, que foi chamado para inspecionar as reservas de Bitcoin da Coinbase em fevereiro.

“Auditoria”T é uma palavra descartável, disse Antonopoulos, que especificamente T se referiupara sua inspeção como uma auditoria na primeira vez.

Ele prefere chamar isso de verificação pontual, acrescentando: "Usei propositalmente uma linguagem menos forte, porque na minha mente uma auditoria é muito mais abrangente e rigorosa. Se você vir uma auditoria que leva menos de três ou quatro semanas, T é uma auditoria."

"[Em uma auditoria] eles fazem visitas aos locais e têm equipes para criar um relatório abrangente e assiná-lo."

Implementação de auditorias abrangentes

Uma auditoria adequada T se concentraria apenas nas reservas de Bitcoin , continuou Antonopoulos, argumentando que há três áreas amplas que uma auditoria satisfatória de uma exchange de Bitcoin exigiria:

• Reservas de Bitcoin

A auditoria das reservas de Bitcoin prova que a bolsa tem os bitcoins que afirma ter.

• Operações Fiat

Uma exchange inescrupulosa sem bitcoins suficientes para cobrir as contas de seus clientes poderia simplesmente comprar mais deles com dólares ou outra moeda, e esconder quaisquer lacunas em suas contas simplesmente movendo dinheiro de moedas fiduciárias para Bitcoin e vice-versa. Auditores de uma exchange de Bitcoin idealmente vasculhariam as contas fiduciárias da empresa para detectar se isso está acontecendo.

• Segurança

Verificar os atuais sistemas de segurança cibernética da empresa confirmaria que nada havia sido visivelmente hackeado.

No entanto, estes pontos por si só não satisfazem os critérios de Antonopoulos para uma auditoria verdadeira.

As empresas T ficam paradas, e uma auditoria adequada incluiria um elemento de proteção futura. Então, ele divide cada uma dessas três áreas em mais duas áreas: verificações imediatas e governança futura.

Isso nos dá uma estrutura como ONE (na foto), que, segundo ele, qualquer auditoria de Bitcoin verdadeiramente abrangente teria:

Há desafios tanto na verificação pontual quanto nas áreas de governança. Para começar, uma auditoria de Bitcoin verdadeiramente abrangente abrangeria múltiplas disciplinas.

Há muitos bons tecnólogos de Bitcoin no mundo, e muitos bons contadores, mas T há muita sobreposição.

"É um negócio que poderia gerar muita receita e criar um serviço útil para a indústria", disse Antonopoulos. "Seria um negócio que combina CPAs e auditores financeiros, auditores de segurança para infosecurity e conhecimento de moedas criptográficas, e seria capaz de fazer auditorias especializadas para esses tipos de negócios."

No entanto, no momento, isso é algo que as bolsas precisam resolver sozinhas.

Jesse Powell, que disse estar trabalhando em auditorias que abrangem o lado fiduciário de sua operação, elaborou as ideias de Antonopoulos:

"A empresa precisaria ter, de forma independente, um forte conhecimento de Bitcoin, Cripto, a capacidade de revisar códigos ou escrever seus próprios códigos, estar ciente das oportunidades para qualquer uma das partes comprometer a auditoria e ter a capacidade de evitar esses comprometimentos. Tradicionalmente, esse conjunto de habilidades não é o que as empresas de contabilidade são conhecidas."

A futura auditoria da Kraken levará essas questões em conta. A empresa está trabalhando em direção a uma auditoria baseada em fiat, ele disse, explicando:

"O ONE será abrangente, incluindo todas as criptos e fiat. Depois disso, haveria outros tipos de auditorias na empresa como um todo, [incluindo] a equipe de gestão, segurança, ETC"

A Coinbase também confirmou que está se concentrando em verificações de moedas fiduciárias e Criptomoeda em sua próxima auditoria.

Este desafio é suficientemente assustador para as bolsas que tentam expandir os seus negócios e lidar com uma infinidade deregulatório e obstáculos técnicos. E isso é apenas um instantâneo no tempo. As auditorias devem acontecer repetidamente para garantir que as empresas permaneçam em conformidade.

Por que as bolsas precisam de auditorias repetidas

Do jeito que está, as provas de reservas da Kraken e da Coinbase estão envelhecendo: são instantâneos tirados no passado. Quanto mais antigos esses instantâneos se tornam, menos relevantes eles são. Auditorias repetidas KEEP validando a exchange, o que garante aos clientes que seus fundos estão seguros.

No entanto, há outro motivo pelo qual as auditorias devem ser repetidas, diz Thomas: ter auditorias subsequentes conduzidas por partes diferentes reduz a necessidade de confiar em um especialista, como ele mesmo.

“A maneira de ganhar confiança nessas auditorias é que elas são repetidas por pessoas diferentes. Parece ser menos provável que a exchange minta ou suborne o auditor.”

Para esse fim, ele decidiu não realizar nenhuma auditoria de acompanhamento para Bitfinex ou Kraken, porque ele quer encorajar as empresas a usar outros auditores terceirizados. Embora ele não tenha nenhum planejado no momento, ele está feliz em conduzir auditorias para outras exchanges, no entanto.

Há maneiras de aumentar o impacto contínuo de uma auditoria, garantindo uma boa governança, e isso pode ser feito em diversas áreas de auditoria destacadas aqui.

No lado da segurança cibernética, os programas white-hat são certamente maneiras louváveis de encontrar bugs de software, mas também é importante verificar se as empresas têm controles suficientes para evitar serem hackeadas no futuro. Existem padrões bem estabelecidos para isso, como oISO 27000série, eCOBIT.

No lado das reservas de Bitcoin , deve ser possível conduzir verificações pontuais automatizadas e regulares que são atualizadas automaticamente todos os dias, sugeriu Antonopoulos.

Uma troca poderia fazer o hash automaticamenteRaiz de Merklepara seu armazenamento a frio, para criar uma prova de seus ativos – os bitcoins que tem em mãos.

Ele também poderia fazer hash do saldo das contas de usuários para criar uma raiz Merkle para os bitcoins mantidos nas contas de seus clientes, o que seria uma prova de responsabilidade.

Essas duas raízes de Merkle poderiam então ser comparadas entre si.

Mas como os usuários verificariam automaticamente se seus saldos foram incluídos na prova de passivos? Eles poderiam usar o mesmo recurso implementado durante a auditoria Kraken, por meio do qual os usuários podem verificar pessoalmente se seus endereços foram incluídos na árvore que criou a raiz Merkle.

Automatizando o processo

O problema é que atualmente, os usuários de uma exchange precisam ser tecnicamente adeptos para realizar essas verificações, o que significa que muitos deles T o farão. Em vez disso, essa verificação poderia ser feita para eles usando um software verificado de forma independente, disse Antonopoulos:

“Uma das coisas que podemos querer ver na indústria é essencialmente um widget muito mais amigável ao usuário. Vamos imaginar que você tem um widget JavaScript de terceiros que aparece dentro da página de um serviço de terceiros, que executa a verificação de Cripto Para Você. Você obtém uma marca de seleção verde com o saldo.”

A comunidade Bitcoin T fica parada por muito tempo e pelo menos um sistema desse tipo já existe. Este sistema de prova de solvência pode ser conectado às bolsas para oferecer prova de responsabilidade e prova de solvência,diz seu criador.

E, sim, há um widget baseado em navegador projetado para verificar automaticamente se o saldo de um usuário foi incluído em um hash que representa os passivos de uma bolsa.

As bolsas de Bitcoin que se esforçaram para tranquilizar os clientes dessa forma estão no caminho certo, mas conduzir uma auditoria financeira é uma tarefa assustadora quando você é uma organização nova que lida com uma classe de ativos totalmente nova que muitos contadores T mesmo entendem.

Esperançosamente, mais exchanges logo se apresentarão para provar não apenas suas reservas de Bitcoin , mas também sua boa governança em outras áreas. Assim como a rede Bitcoin e o próprio ecossistema de negócios, a capacidade das exchanges de provar sua boa reputação aos clientes continua sendo um trabalho em andamento.

Ferramentasimagem via Shutterstock