Por qué las auditorías de las plataformas de intercambio de Bitcoin no son lo suficientemente exhaustivas

Los intercambios de Bitcoin tienen mucho más camino que recorrer para demostrar su buena reputación a los clientes, dicen los expertos que los inspeccionaron, pero las soluciones están a la vuelta de la esquina.

La semana pasada

CoinDesk exploró el intercambio de Bitcoin Kraken, y le mostró cómo la empresa hizo todo lo posible para demostrar que poseía los bitcoins que afirmaba tener.

La luminaria de Bitcoin, Stefan Thomas, utilizó pruebas criptográficas para confirmar que la bolsa estadounidense no se vería sorprendida si hubiera una corrida sobre sus bitcoins, y que no se sentiría repentinamente avergonzada, al estilo Mt. Gox, al descubrir que un hacker había estado robando sus monedas en secreto.

Kraken pasó la inspección con gran éxito, ya quetener otrosPero ¿fueron suficientes las inspecciones? ¿Cuán exhaustiva debe ser una auditoría y qué más debe abarcar?

¿Por qué se necesitan mejoras?

La auditoría que realizó Thomas se centró en la cantidad de bitcoins que poseía la plataforma y la cantidad que debía a sus clientes. En un entorno de intercambio legítimo, la cantidad de bitcoins debería ser mayor que la de los bitcoins.

La auditoría de Kraken siguió a una oleada de actividad tras la debacle de Mt Gox, en la que los exchanges se movilizaron para asegurar a los clientes que tenían los bitcoins que decían tener.

"Es una reacción a Mt. Gox", dice Thomas. La compañía, que suspendió los retiros y luego declaró haber perdido cientos de miles de bitcoins, dejó a los usuarios indignados.

Las cosas solían ser incluso peores, dijo Thomas a CoinDesk, afirmando:

Recuerdo cuando estos servicios funcionaban de forma anónima y ocurrió el desastre de MyBitcoin.com, y entonces casi ONE quería usar un servicio anónimo.

Esta era una referencia a la billetera operada anónimamente queafirmó haber perdidopoco más de la mitad de los bitcoins de sus usuarios.

Agregó: "En el futuro, la gente no utilizará bolsas que no permitan ningún tipo de auditoría".

Estas inspecciones fueron un intento de máximo esfuerzo por entregar algo tangible en un período de tiempo corto, pero es poco probable que sean la solución definitiva.

¿Cuándo una auditoría no es una auditoría?

Jesse Powell, CEO de Kraken, dice que ya está planeando un seguimiento de la auditoría inicial de su exchange en un futuro NEAR .

[cita posterior]

Un portavoz de Coinbase, que también llevó a cabo una inspección por parte de terceros de sus reservas de Bitcoin , añadió que también está realizando inspecciones de seguimiento más exhaustivas.

¿Qué deberían cubrir estas inspecciones y qué se omitió la primera vez? Podemos Aprende mucho de Andreas Antonopoulos, director de seguridad de Blockchain, quien fue convocado para inspeccionar las reservas de Bitcoin de Coinbase en febrero.

«Auditoría»no es una palabra desechable, dijo Antonopoulos, quien No se refería específicamentea su inspección como auditoría la primera vez.

Él prefiere llamarlo una verificación aleatoria, y agrega: "Usé un lenguaje menos fuerte a propósito, porque en mi opinión una auditoría es mucho más exhaustiva y rigurosa. Si ves una auditoría que toma menos de tres o cuatro semanas, no es una auditoría".

"[En una auditoría] se visitan los sitios y hay equipos encargados de crear un informe completo y de aprobarlo".

Implementación de auditorías integrales

Una auditoría adecuada no se centraría únicamente en las reservas de Bitcoin , continuó Antonopoulos, argumentando que hay tres áreas amplias que una auditoría satisfactoria de un intercambio de Bitcoin requeriría:

• Reservas de Bitcoin

La auditoría de las reservas de Bitcoin demuestra que el exchange tiene los bitcoins que dice tener.

• Operaciones Fiat

Una plataforma de intercambio sin escrúpulos, sin suficientes bitcoins para cubrir las cuentas de sus clientes, podría simplemente comprar más con dólares u otra moneda, y ocultar cualquier déficit en sus cuentas simplemente transfiriendo dinero de monedas fiduciarias a Bitcoin y viceversa. Lo ideal sería que los auditores de una plataforma de intercambio de Bitcoin revisaran las cuentas fiduciarias de la empresa para detectar si esto sucede.

• Seguridad

Al revisar los sistemas de ciberseguridad actuales de la empresa se confirmaría que no se había pirateado nada visiblemente.

Sin embargo, estos puntos por sí solos no satisfacen los criterios de Antonopoulos para una verdadera auditoría.

Las empresas no se quedan estancadas, y una auditoría adecuada incluiría un elemento de preparación para el futuro. Por ello, divide cada una de estas tres áreas en dos más: controles inmediatos y gobernanza prospectiva.

Eso nos da una estructura como ONE (en la imagen), que, dijo, cualquier auditoría de Bitcoin verdaderamente exhaustiva tendría:

Existen desafíos tanto en las inspecciones puntuales como en las áreas de gobernanza. Para empezar, una auditoría de Bitcoin verdaderamente exhaustiva abarcaría múltiples disciplinas.

Hay muchos muy buenos tecnólogos de Bitcoin en el mundo, y hay muchos buenos contadores, pero no hay mucha superposición.

"Es un negocio que podría generar muchos ingresos y crear un servicio útil para la industria", dijo Antonopoulos. "Sería un negocio que combinaría contadores públicos y auditores financieros, auditores de seguridad para la seguridad de la información y expertos en criptomonedas, y podría realizar auditorías especializadas para este tipo de negocios".

Por el momento, esto es algo que las bolsas deben resolver por sí mismas.

Jesse Powell, quien dijo que está trabajando en auditorías que cubren el lado fiduciario de su operación, profundizó en las ideas de Antonopoulos:

La firma necesitaría tener un sólido conocimiento de Bitcoin y Cripto, la capacidad de revisar código o escribir el suyo propio, ser consciente de las oportunidades de que cualquiera de las partes comprometa la auditoría y tener la capacidad de prevenir dichas vulneraciones. Tradicionalmente, las firmas de contabilidad no se caracterizan por estas habilidades.

La futura auditoría de Kraken tendrá en cuenta estos problemas. La firma está trabajando para implementar una auditoría basada en moneda fiduciaria, afirmó, y explicó:

La ONE será exhaustiva e incluirá todas las criptomonedas y el dinero fiduciario. A continuación, se realizarán otros tipos de auditorías a la empresa en su conjunto, incluyendo al equipo directivo, la seguridad, ETC

Coinbase también ha confirmado que se centrará en las comprobaciones de monedas fiduciarias y de Criptomonedas para su próxima auditoría.

Este desafío es lo suficientemente abrumador para los exchanges que intentan hacer crecer su negocio y lidiar con una gran cantidad deregulador y obstáculos técnicos. Y esto es solo un ejemplo. Se supone que las auditorías deben realizarse repetidamente para garantizar que las empresas cumplan con la normativa.

¿Por qué las bolsas necesitan auditorías repetidas?

Actualmente, las pruebas de reserva de Kraken y Coinbase están en desuso: son instantáneas tomadas en el pasado. Cuanto más antiguas sean, menos relevantes serán. Las auditorías periódicas KEEP el exchange, lo que garantiza a los clientes la seguridad de sus fondos.

Sin embargo, hay otra razón por la cual las auditorías deberían repetirse, dice Thomas: tener auditorías posteriores manejadas por diferentes partes reduce la necesidad de depositar confianza en un experto, como él mismo.

La forma de generar confianza en estas auditorías es que las repiten diferentes personas. Parece menos probable que la bolsa mienta o soborne al auditor.

Para ello, ha decidido no realizar auditorías de seguimiento para Bitfinex ni Kraken, ya que quiere animar a las empresas a recurrir a otros auditores externos. Aunque no tiene ninguna prevista por el momento, está dispuesto a realizar auditorías para otras plataformas de intercambio.

Hay maneras de aumentar el impacto continuo de una auditoría, garantizando una buena gobernanza, y esto puede hacerse en varias de las áreas de auditoría destacadas aquí.

En materia de ciberseguridad, los programas de sombrero blanco son, sin duda, métodos loables para detectar errores de software, pero también es importante comprobar que las empresas cuenten con los controles necesarios para evitar futuros ataques informáticos. Existen estándares bien establecidos para ello, como elISO 27000serie, yCOBIT.

En lo que respecta a las reservas de Bitcoin , debería ser posible realizar controles automatizados periódicos que se actualicen automáticamente cada día, sugirió Antonopoulos.

Un intercambio podría codificar automáticamente elRaíz de Merklepara su almacenamiento en frío, para crear una prueba de sus activos: los bitcoins que tiene en mano.

También podría codificar el saldo de las cuentas de los usuarios para crear una raíz Merkle para los bitcoins guardados en las cuentas de sus clientes, lo que sería una prueba de responsabilidad.

Estas dos raíces de Merkle podrían entonces compararse entre sí.

¿Cómo comprobarían automáticamente los usuarios que sus saldos se incluyeron en la prueba de pasivos? Podrían usar la misma función implementada durante la auditoría de Kraken, mediante la cual los usuarios pueden comprobar personalmente que su dirección se incluyó en el árbol que creó la raíz de Merkle.

Automatizar el proceso

El problema es que, actualmente, los usuarios de un exchange deben ser expertos en tecnología para realizar estas comprobaciones, lo que significa que muchos no lo harán. En cambio, esta comprobación podría realizarse mediante software verificado independientemente, afirmó Antonopoulos:

Una de las cosas que nos gustaría ver en la industria es un widget mucho más intuitivo. Imaginemos que tienes un widget JavaScript de terceros que aparece dentro de la página desde un servicio externo y que realiza la verificación de Cripto . Aparece una marca de verificación verde con el saldo.

La comunidad Bitcoin no se queda quieta por mucho tiempo y al menos un sistema de este tipo... ya existeEste sistema de prueba de solvencia puede incorporarse a las bolsas para ofrecer tanto prueba de responsabilidad como prueba de solvencia.dice su creador.

Y, sí, hay un widget basado en navegador diseñado para verificar automáticamente que el saldo de un usuario se haya incluido en un hash que representa los pasivos de un exchange.

Los intercambios de Bitcoin que se han esforzado por tranquilizar a los clientes de esta manera están yendo por el camino correcto, pero realizar una auditoría financiera es una tarea abrumadora cuando se trata de una organización nueva que trata con una clase de activos completamente nueva que muchos contadores T siquiera comprenden.

Se espera que pronto más plataformas de intercambio se comprometan a demostrar no solo sus reservas de Bitcoin , sino también su buena gobernanza en otras áreas. Al igual que la red de Bitcoin y el propio ecosistema empresarial, la capacidad de las plataformas de intercambio para demostrar su buena reputación a los clientes sigue siendo un proceso en desarrollo.

Herramientasimagen vía Shutterstock