Defectos de la prueba de reserva de instituciones centralizadas y propuestas de mejora
El colapso de FTX ha provocado una grave crisis de confianza en las instituciones centralizadas. Para reconstruir la confianza, varios intercambios han comenzado a adoptar el método de prueba de reservas de Merkle Tree para demostrar a los usuarios la seguridad de los fondos. Sin embargo, este método tiene algunas fallas fundamentales que dificultan la prevención completa de la malversación de fondos.
Este artículo discutirá dos deficiencias principales de los métodos actuales de prueba de reservas de Merkle Tree y propondrá algunas sugerencias de mejora.
Resumen de los métodos de prueba de reservas existentes
Actualmente, las pruebas de reservas se realizan normalmente mediante métodos de auditoría tradicionales, con informes emitidos por empresas de auditoría externas, que demuestran que los activos en cadena de la institución (prueba de reservas) coinciden con el total de los saldos de activos de los usuarios (prueba de pasivos).
En cuanto a la prueba de deuda, la institución debe generar un Merkle Tree que incluya la información de la cuenta del usuario y el saldo de activos, creando una instantánea anónima e inalterable del saldo de activos de la cuenta del usuario. El usuario puede verificar de forma independiente si su cuenta está incluida en el Merkle Tree.
En cuanto a la prueba de reservas, las instituciones deben proporcionar y verificar las direcciones en la cadena que poseen, generalmente a través de una firma digital que demuestre la propiedad de la dirección.
Después de completar la instantánea del Merkle Tree y la confirmación de la propiedad de la dirección en la cadena, la entidad auditora verificará el total de activos en ambos extremos de pasivos y reservas para determinar si existe desvío de fondos.
Defectos del método de prueba de reservas existente
1. Los préstamos a corto plazo pueden eludir la auditoría
Los métodos de auditoría existentes suelen basarse en puntos específicos en el tiempo y los intervalos de auditoría son largos. Esto da a las instituciones la oportunidad de desviar fondos y cubrir vacíos a través de préstamos durante el período de auditoría.
2. Posibilidad de colusión con partes financiadoras externas
Proporcionar una firma digital no equivale a la propiedad real de los activos. Las instituciones pueden conspirar con fuentes de financiamiento externas para proporcionar pruebas de activos en la cadena. Las fuentes de financiamiento externas incluso pueden usar el mismo activo para proporcionar pruebas a múltiples instituciones. Los métodos de auditoría actuales son difíciles de identificar este tipo de fraude.
Sugerencias para mejorar los métodos de prueba
Un sistema ideal de prueba de reservas debería permitir la verificación en tiempo real de las obligaciones y reservas, pero esto puede conllevar altos costos o riesgos de filtración de información del usuario. Para prevenir la falsificación de la prueba de reservas durante la auditoría, al mismo tiempo que se protege la privacidad del usuario, se proponen las siguientes recomendaciones:
1. Auditoría aleatoria por muestreo
Realizar auditorías aleatorias a intervalos impredecibles dificulta que las instituciones manipulen los saldos de las cuentas y los activos en la cadena. Este enfoque puede disuadir comportamientos inapropiados a través de inspecciones sorpresivas.
Método de práctica: una entidad auditora de terceros de confianza envía solicitudes de auditoría de forma aleatoria a las entidades centralizadas. Al recibir la instrucción, la entidad debe generar un Merkle Tree que contenga el saldo de las cuentas de los usuarios en un momento específico (marcado por la altura del bloque).
2. Utilizar el esquema MPC-TSS para acelerar la prueba de reservas
Los requisitos de auditoría aleatoria exigen que las instituciones proporcionen pruebas de reservas en un corto período de tiempo, lo que representa un gran desafío para las instituciones que gestionan una gran cantidad de direcciones en la cadena. Incluso si la mayor parte de los activos se almacenan en unas pocas direcciones fijas, la cantidad total de fondos dispersos en múltiples direcciones sigue siendo considerable. Consolidar los fondos en unas pocas direcciones públicas durante la auditoría lleva mucho tiempo, dejando oportunidades para el desvío de fondos.
Una posible solución es utilizar la tecnología de esquemas de firma umbral MPC (MPC-TSS). MPC-TSS es una tecnología criptográfica avanzada que divide una clave privada en múltiples fragmentos, que son poseídos por múltiples partes de manera encriptada. Los poseedores de los fragmentos de la clave privada pueden firmar transacciones conjuntamente sin intercambiar o combinar las claves privadas.
En este esquema, una entidad de auditoría de terceros (como un bufete de abogados, una firma de auditoría, un custodio o una agencia reguladora) puede poseer un fragmento de la clave privada, mientras que la entidad centralizada posee los fragmentos restantes. Establecer un "umbral" en un número mayor que uno asegura que los activos sigan siendo controlados por la entidad centralizada. Es importante notar que, para generar una gran cantidad de direcciones copatrocinadas por la parte auditora, el esquema de copatrocinio MPC-TSS debe ser compatible con el protocolo BIP32.
Una vez que la institución auditora tiene fragmentos de la clave privada, puede determinar el conjunto de direcciones en la cadena de la institución centralizada y calcular el tamaño de los activos en la altura de bloque especificada. Este método no solo mejora la eficiencia de la auditoría, sino que también aumenta la credibilidad de la prueba de reservas.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
18 me gusta
Recompensa
18
7
Compartir
Comentar
0/400
FastLeaver
· 07-24 06:58
Si se realiza una revisión aleatoria, se evitará la inspección, es así de simple.
Ver originalesResponder0
GhostWalletSleuth
· 07-24 06:52
También puede haber posibilidad de fraude en las auditorías aleatorias.
Ver originalesResponder0
MEV_Whisperer
· 07-24 06:52
Engañaron a los usuarios de FTX y ahora vienen a jugar con la confianza.
Ver originalesResponder0
LiquidationTherapist
· 07-24 06:50
Dar tecnología al mundo Cripto sin costo, aún no hay un verdadero Web3 limpio.
Ver originalesResponder0
BlockchainBard
· 07-24 06:39
Con una auditoría tan estricta, ¿qué hacemos si el intercambio roba dinero?
Ver originalesResponder0
LiquidityNinja
· 07-24 06:39
La experiencia son lecciones, pocos cex pueden hablar la verdad.
Optimización de la prueba de reservas del intercambio centralizado: auditoría aleatoria y plan MPC-TSS
Defectos de la prueba de reserva de instituciones centralizadas y propuestas de mejora
El colapso de FTX ha provocado una grave crisis de confianza en las instituciones centralizadas. Para reconstruir la confianza, varios intercambios han comenzado a adoptar el método de prueba de reservas de Merkle Tree para demostrar a los usuarios la seguridad de los fondos. Sin embargo, este método tiene algunas fallas fundamentales que dificultan la prevención completa de la malversación de fondos.
Este artículo discutirá dos deficiencias principales de los métodos actuales de prueba de reservas de Merkle Tree y propondrá algunas sugerencias de mejora.
Resumen de los métodos de prueba de reservas existentes
Actualmente, las pruebas de reservas se realizan normalmente mediante métodos de auditoría tradicionales, con informes emitidos por empresas de auditoría externas, que demuestran que los activos en cadena de la institución (prueba de reservas) coinciden con el total de los saldos de activos de los usuarios (prueba de pasivos).
En cuanto a la prueba de deuda, la institución debe generar un Merkle Tree que incluya la información de la cuenta del usuario y el saldo de activos, creando una instantánea anónima e inalterable del saldo de activos de la cuenta del usuario. El usuario puede verificar de forma independiente si su cuenta está incluida en el Merkle Tree.
En cuanto a la prueba de reservas, las instituciones deben proporcionar y verificar las direcciones en la cadena que poseen, generalmente a través de una firma digital que demuestre la propiedad de la dirección.
Después de completar la instantánea del Merkle Tree y la confirmación de la propiedad de la dirección en la cadena, la entidad auditora verificará el total de activos en ambos extremos de pasivos y reservas para determinar si existe desvío de fondos.
Defectos del método de prueba de reservas existente
1. Los préstamos a corto plazo pueden eludir la auditoría
Los métodos de auditoría existentes suelen basarse en puntos específicos en el tiempo y los intervalos de auditoría son largos. Esto da a las instituciones la oportunidad de desviar fondos y cubrir vacíos a través de préstamos durante el período de auditoría.
2. Posibilidad de colusión con partes financiadoras externas
Proporcionar una firma digital no equivale a la propiedad real de los activos. Las instituciones pueden conspirar con fuentes de financiamiento externas para proporcionar pruebas de activos en la cadena. Las fuentes de financiamiento externas incluso pueden usar el mismo activo para proporcionar pruebas a múltiples instituciones. Los métodos de auditoría actuales son difíciles de identificar este tipo de fraude.
Sugerencias para mejorar los métodos de prueba
Un sistema ideal de prueba de reservas debería permitir la verificación en tiempo real de las obligaciones y reservas, pero esto puede conllevar altos costos o riesgos de filtración de información del usuario. Para prevenir la falsificación de la prueba de reservas durante la auditoría, al mismo tiempo que se protege la privacidad del usuario, se proponen las siguientes recomendaciones:
1. Auditoría aleatoria por muestreo
Realizar auditorías aleatorias a intervalos impredecibles dificulta que las instituciones manipulen los saldos de las cuentas y los activos en la cadena. Este enfoque puede disuadir comportamientos inapropiados a través de inspecciones sorpresivas.
Método de práctica: una entidad auditora de terceros de confianza envía solicitudes de auditoría de forma aleatoria a las entidades centralizadas. Al recibir la instrucción, la entidad debe generar un Merkle Tree que contenga el saldo de las cuentas de los usuarios en un momento específico (marcado por la altura del bloque).
2. Utilizar el esquema MPC-TSS para acelerar la prueba de reservas
Los requisitos de auditoría aleatoria exigen que las instituciones proporcionen pruebas de reservas en un corto período de tiempo, lo que representa un gran desafío para las instituciones que gestionan una gran cantidad de direcciones en la cadena. Incluso si la mayor parte de los activos se almacenan en unas pocas direcciones fijas, la cantidad total de fondos dispersos en múltiples direcciones sigue siendo considerable. Consolidar los fondos en unas pocas direcciones públicas durante la auditoría lleva mucho tiempo, dejando oportunidades para el desvío de fondos.
Una posible solución es utilizar la tecnología de esquemas de firma umbral MPC (MPC-TSS). MPC-TSS es una tecnología criptográfica avanzada que divide una clave privada en múltiples fragmentos, que son poseídos por múltiples partes de manera encriptada. Los poseedores de los fragmentos de la clave privada pueden firmar transacciones conjuntamente sin intercambiar o combinar las claves privadas.
En este esquema, una entidad de auditoría de terceros (como un bufete de abogados, una firma de auditoría, un custodio o una agencia reguladora) puede poseer un fragmento de la clave privada, mientras que la entidad centralizada posee los fragmentos restantes. Establecer un "umbral" en un número mayor que uno asegura que los activos sigan siendo controlados por la entidad centralizada. Es importante notar que, para generar una gran cantidad de direcciones copatrocinadas por la parte auditora, el esquema de copatrocinio MPC-TSS debe ser compatible con el protocolo BIP32.
Una vez que la institución auditora tiene fragmentos de la clave privada, puede determinar el conjunto de direcciones en la cadena de la institución centralizada y calcular el tamaño de los activos en la altura de bloque especificada. Este método no solo mejora la eficiencia de la auditoría, sino que también aumenta la credibilidad de la prueba de reservas.