Недоліки та пропозиції щодо вдосконалення доказів резервів централізованих установ
Крах FTX викликав серйозну кризу довіри до централізованих інститутів. Щоб відновити довіру, кілька бірж почали використовувати методи підтвердження резервів на основі Меркле-дерева, щоб довести користувачам безпеку коштів. Однак цей метод має деякі основні недоліки, які ускладнюють повну профілактику привласнення коштів.
У цій статті буде обговорено два основних недоліки існуючих методів доведення резервів на основі дерев Меркла та запропоновано кілька рекомендацій щодо вдосконалення.
Огляд існуючих методів підтвердження резервів
Нинішнє підтвердження резервів зазвичай здійснюється традиційними методами аудиту, коли звіт надає стороння аудиторська компанія, яка підтверджує, що онлайнові активи організації (підтвердження резервів) відповідають загальному балансу активів користувачів (підтвердження зобов'язань).
У сфері підтвердження боргів установи повинні створити Merkle Tree, що містить інформацію про рахунок користувача та баланс активів, щоб створити анонімний та незмінний знімок балансу активів користувача. Користувачі можуть самостійно перевірити, чи їхній рахунок міститься в Merkle Tree.
Щодо доказів резерву, установи повинні надати та перевірити свої адреси в ланцюгу, зазвичай підтверджуючи право власності на адресу за допомогою цифрового підпису.
Після завершення знімка Merkle Tree та підтвердження прав власності на адреси в блокчейні, аудиторська організація перевірить загальну суму активів з обох сторін зобов'язань та резервів, щоб визначити, чи існує привласнення коштів.
Недоліки існуючих методів підтвердження резервів
1. Короткострокові позики можуть уникати аудиту
Існуючі методи аудиту зазвичай базуються на конкретній часовій точці, а інтервали аудиту є досить тривалими. Це дає можливість установам привласнювати кошти та заповнювати дефіцит під час аудиту за рахунок позик.
2. Можливість змови з зовнішніми фінансовими партнерами
Надання цифрового підпису не є рівнозначним фактичному праву власності на активи. Інститути можуть змовлятися з зовнішніми фінансовими установами для надання доказів активів в блокчейні. Зовнішні фінансові установи навіть можуть використовувати один і той же актив для надання доказів для кількох інститутів. Сучасні методи аудиту важко виявляють такі шахрайські дії.
Пропозиції щодо вдосконалення методів доказу
Ідеальна система доказу резервів повинна дозволяти перевірку зобов'язань і резервів в реальному часі, але це може супроводжуватися високими витратами або ризиком витоку інформації користувачів. Щоб запобігти підробці доказів резервів під час аудиту, водночас захистивши конфіденційність користувачів, пропонуються наступні рекомендації:
1. Вибірковий випадковий аудит
Випадковий аудит з непередбачуваними інтервалами ускладнює для установ маніпулювання залишками рахунків та активами в мережі. Цей підхід може стримувати неналежну поведінку через раптові перевірки.
Метод практики: довірена третя сторона аудиторської установи випадковим чином надсилає запит на аудит централізованим установам. Після отримання інструкцій установи повинні створити Merkle Tree, що містить залишки облікових записів користувачів на певний момент часу (позначений висотою блоку).
2. Використання рішення MPC-TSS для прискорення доказу резерву
Випадкові перевірки вимагають від установ на короткий термін надати докази резервів, що є великою проблемою для установ, які управляють великою кількістю адрес в мережі. Навіть якщо більшість активів зберігається на кількох фіксованих адресах, загальна сума коштів, розподілених на кількох адресах, все ще є значною. Консолідація коштів на кількох публічних адресах під час перевірки займає багато часу, що створює можливості для несанкціонованих дій.
Одним із можливих рішень є використання технології підпису з пороговим значенням MPC (MPC-TSS). MPC-TSS — це передова криптографічна технологія, яка ділить приватний ключ на кілька частин, які зберігаються різними сторонами. Власники частин приватного ключа можуть спільно підписувати транзакції без обміну або об'єднання приватних ключів.
У рамках цієї схеми треті особи, такі як юридичні фірми, аудиторські фірми, кастодіани або регулятори, можуть зберігати одну частину приватного ключа, тоді як централізовані установи утримують залишкові частини. Встановлення "порогу" на значення більше одного забезпечує контроль над активами з боку централізованих установ. Варто зазначити, що для створення великої кількості адрес, які спільно контролюються аудиторами, схема MPC-TSS повинна підтримувати протокол BIP32.
Аудиторська організація, маючи фрагменти приватних ключів, може визначити набір адрес централізованої установи в ланцюгу та підрахувати обсяги активів на вказаній висоті блоку. Цей метод не тільки підвищує ефективність аудиту, але й посилює довіру до підтвердження резервів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
18 лайків
Нагородити
18
7
Поділіться
Прокоментувати
0/400
FastLeaver
· 07-24 06:58
Випадкова перевірка уникне перевірки, так просто.
Переглянути оригіналвідповісти на0
GhostWalletSleuth
· 07-24 06:52
Можливо, що й у випадку випадкової перевірки може бути можливість фальсифікації.
Переглянути оригіналвідповісти на0
MEV_Whisperer
· 07-24 06:52
Обдуривши користувачів ftx, знову починаєш дурити з довірою.
Переглянути оригіналвідповісти на0
LiquidationTherapist
· 07-24 06:50
Білий подарунок у криптосвіті займається технологіями, ще не справжній Web3 чистий.
Переглянути оригіналвідповісти на0
BlockchainBard
· 07-24 06:39
Аудит такий суворий, що робити, якщо біржа вкраде гроші?
Переглянути оригіналвідповісти на0
LiquidityNinja
· 07-24 06:39
Досвід - це завжди урок, небагато cex можуть сказати правду.
Оптимізація доказу резервів централізованої біржі: випадковий аудит та схема MPC-TSS
Недоліки та пропозиції щодо вдосконалення доказів резервів централізованих установ
Крах FTX викликав серйозну кризу довіри до централізованих інститутів. Щоб відновити довіру, кілька бірж почали використовувати методи підтвердження резервів на основі Меркле-дерева, щоб довести користувачам безпеку коштів. Однак цей метод має деякі основні недоліки, які ускладнюють повну профілактику привласнення коштів.
У цій статті буде обговорено два основних недоліки існуючих методів доведення резервів на основі дерев Меркла та запропоновано кілька рекомендацій щодо вдосконалення.
Огляд існуючих методів підтвердження резервів
Нинішнє підтвердження резервів зазвичай здійснюється традиційними методами аудиту, коли звіт надає стороння аудиторська компанія, яка підтверджує, що онлайнові активи організації (підтвердження резервів) відповідають загальному балансу активів користувачів (підтвердження зобов'язань).
У сфері підтвердження боргів установи повинні створити Merkle Tree, що містить інформацію про рахунок користувача та баланс активів, щоб створити анонімний та незмінний знімок балансу активів користувача. Користувачі можуть самостійно перевірити, чи їхній рахунок міститься в Merkle Tree.
Щодо доказів резерву, установи повинні надати та перевірити свої адреси в ланцюгу, зазвичай підтверджуючи право власності на адресу за допомогою цифрового підпису.
Після завершення знімка Merkle Tree та підтвердження прав власності на адреси в блокчейні, аудиторська організація перевірить загальну суму активів з обох сторін зобов'язань та резервів, щоб визначити, чи існує привласнення коштів.
Недоліки існуючих методів підтвердження резервів
1. Короткострокові позики можуть уникати аудиту
Існуючі методи аудиту зазвичай базуються на конкретній часовій точці, а інтервали аудиту є досить тривалими. Це дає можливість установам привласнювати кошти та заповнювати дефіцит під час аудиту за рахунок позик.
2. Можливість змови з зовнішніми фінансовими партнерами
Надання цифрового підпису не є рівнозначним фактичному праву власності на активи. Інститути можуть змовлятися з зовнішніми фінансовими установами для надання доказів активів в блокчейні. Зовнішні фінансові установи навіть можуть використовувати один і той же актив для надання доказів для кількох інститутів. Сучасні методи аудиту важко виявляють такі шахрайські дії.
Пропозиції щодо вдосконалення методів доказу
Ідеальна система доказу резервів повинна дозволяти перевірку зобов'язань і резервів в реальному часі, але це може супроводжуватися високими витратами або ризиком витоку інформації користувачів. Щоб запобігти підробці доказів резервів під час аудиту, водночас захистивши конфіденційність користувачів, пропонуються наступні рекомендації:
1. Вибірковий випадковий аудит
Випадковий аудит з непередбачуваними інтервалами ускладнює для установ маніпулювання залишками рахунків та активами в мережі. Цей підхід може стримувати неналежну поведінку через раптові перевірки.
Метод практики: довірена третя сторона аудиторської установи випадковим чином надсилає запит на аудит централізованим установам. Після отримання інструкцій установи повинні створити Merkle Tree, що містить залишки облікових записів користувачів на певний момент часу (позначений висотою блоку).
2. Використання рішення MPC-TSS для прискорення доказу резерву
Випадкові перевірки вимагають від установ на короткий термін надати докази резервів, що є великою проблемою для установ, які управляють великою кількістю адрес в мережі. Навіть якщо більшість активів зберігається на кількох фіксованих адресах, загальна сума коштів, розподілених на кількох адресах, все ще є значною. Консолідація коштів на кількох публічних адресах під час перевірки займає багато часу, що створює можливості для несанкціонованих дій.
Одним із можливих рішень є використання технології підпису з пороговим значенням MPC (MPC-TSS). MPC-TSS — це передова криптографічна технологія, яка ділить приватний ключ на кілька частин, які зберігаються різними сторонами. Власники частин приватного ключа можуть спільно підписувати транзакції без обміну або об'єднання приватних ключів.
У рамках цієї схеми треті особи, такі як юридичні фірми, аудиторські фірми, кастодіани або регулятори, можуть зберігати одну частину приватного ключа, тоді як централізовані установи утримують залишкові частини. Встановлення "порогу" на значення більше одного забезпечує контроль над активами з боку централізованих установ. Варто зазначити, що для створення великої кількості адрес, які спільно контролюються аудиторами, схема MPC-TSS повинна підтримувати протокол BIP32.
Аудиторська організація, маючи фрагменти приватних ключів, може визначити набір адрес централізованої установи в ланцюгу та підрахувати обсяги активів на вказаній висоті блоку. Цей метод не тільки підвищує ефективність аудиту, але й посилює довіру до підтвердження резервів.