Ano Talaga ang Nangyayari sa Loob ng Bitcoin Audit

ONE hapon noong Marso, pumasok si Stefan Thomas sa isang makintab, brick-and-beam na opisina sa itaas na palapag sa Market Street ng San Francisco. Ang opisina, tipikal ng mga espasyo sa lumalagong tech corridor ng lungsod, ay pinaninirahan ng mga empleyado ng Bitcoin exchange Kraken.

Sa oras na pumasok siya, ang SAT ng hapon ay namamatay, at karamihan sa mga empleyado ay umalis. Tanging ang CEO ng kumpanya na si Jesse Powell ang naroon, kasama ang ONE pang empleyado.

Pagkatapos ng obligadong pagbati at pangkalahatang chit-chat, umupo si Thomas sa mesa ni Powell, sinira ang isang Ubuntu virtual machine sa isang makinis at silver Mac computer, at nagsimulang magtrabaho.

Nandito siya para patunayan iyon Ang Kraken ay nagmamay-ari ng mga bitcoin inangkin nito na mayroon.

Kasunod ng pagkasindak noong Pebrero tungkol sa mga Events sa Mt. Gox, noong nangyari ang Japanese-based na site sumabog kamangha-mangha, ang pagkuha ng 850,000 bitcoins kasama nito, at iniwan ang mga naguguluhan na mga user sa kalagayan nito, nais ni Powell na tiyakin sa sarili niyang mga user na ang kanyang exchange ay T nagpapatakbo ng fractional reserve.

T niya masyadong ma-audit ang sarili niyang kumpanya, kaya naman tahimik na nagta-type si Thomas sa kanyang pansamantalang desk.

Mga mahahalagang kasanayan

Kaya, sino si Stefan Thomas, at bakit siya ang taong tinawag ni Powell?

Si Thomas ay Chief Technical Officer sa Ripple Labs, isang kumpanyang gumawa ng sarili nitong protocol sa pagbabayad at ipinagmamalaki ang sarili sa isang transparent na pampublikong ledger ng mga transaksyon.

Siya ay kasangkot sa Bitcoin mula sa isang maagang yugto, na ginawa ang sikat na ngayong What Is Bitcoin video, at nag-pilot WeUseCoins– isang online na gabay sa Bitcoin. Siya rin ang naging lakas ng pagmamaneho BitcoinJS, ang pagpapatupad ng JavaScript ng Bitcoin protocol.

Sa madaling salita, pagdating sa Technology pinagbabatayan ng Bitcoin, alam ni Thomas ang kanyang mga bagay.

“Lokal si Stefan, available siya sa maikling panahon, pinagkakatiwalaan siya ng komunidad at ONE sa ilang taong may sapat na kakayahan para magsagawa ng pag-audit,” sabi ni Powell, idinagdag:

"Kailangan namin ng isang tao na maaaring gumawa ng mga kritisismo sa proseso, magmungkahi ng mga pagpapabuti (na ginawa niya, at pinagtibay namin), at hahadlang sa amin kung sinusubukan naming hilahin siya ng ONE ."

Ang kailangan ni Kraken

Kasama sa audit ang dalawang magkaibang set ng data.

Ang una ay ang balanse ng mga bitcoin na hawak ng Kraken sa imbakan, sa sarili nitong mga address ng Bitcoin na nakikita ng publiko.

Ang pangalawa ay ang hanay ng mga address na bumubuo sa mga account ng customer nito. Maaari mong isipin ang una bilang mga asset nito, at ang pangalawa bilang mga pananagutan nito, dahil ang bawat Bitcoin na hawak sa isang user account ay epektibong isang Bitcoin na kailangang bayaran ng palitan sa isang punto.

Hinahangad ng Kraken na patunayan na mayroon itong mas maraming bitcoin sa imbakan kaysa sa mga customer sa kanilang mga account, na kinabibilangan ng pagsuri sa mga kabuuan ng bawat isa sa mga hanay ng mga address na iyon.

Kaya, paano ito ginawa ni Thomas?

Merkle puno, dahon at ugat

Ang batayan para sa Kraken audit ay ang 'Merkle tree', na isang sistema para sa pagpapabuti ng integridad ng isang koleksyon ng data.

Sa Bitcoin block chain, ang Merkle tree ay ginagamit upang iimbak ang mga transaksyon sa isang partikular na bloke. Ang bentahe nito ay madali itong makagawa ng isang hash (kilala bilang Merkle root), na epektibong nagha-hash sa lahat ng mga transaksyon sa puno.

Ang mga maliliit na grupo ng mga transaksyon ay pinagsasama-sama, at pagkatapos ay ang mga resulta ng mga hash na iyon ay muling iha-hash. Nagpapatuloy ito hanggang sa ang panghuling hash ay makagawa ng solong Merkle root. Maaaring gamitin ang ugat na ito upang pagtibayin ang mga nilalaman ng anumang address sa puno.

Mayroong Merkle tree (at kaukulang ugat) para sa parehong pananagutan (mga balanse ng customer) at asset (kraken's wallet) sa mga panig ng audit.

Pagpapatunay sa mga ari-arian

Para makagawa ng hash ng asset, binigyan si Thomas ng mga pampublikong address ng buong wallet ni Kraken. Pagkatapos ay maaari niyang makuha ang mga nilalaman ng mga address na iyon mula sa pampublikong Bitcoin blockchain.

Upang kolektahin at i-hash ang data na iyon, gumamit siya ng tool na isinulat ni Michael Grønager, COO ni Kraken, na tinatawag na Cryptoshi, na idinisenyo upang manipulahin ang iba't ibang istruktura ng wallet.

Ginagamit ng Cryptoshi libcoin, isang Cryptocurrency library batay sa orihinal na kliyente ng Satoshi na naging produkto ng sangguniang CORE ng Bitcoin . Inilarawan ni Thomas ang Cryptoshi bilang "isang Swiss army knife para sa Cryptocurrency."

Sa panig ng asset, maaaring ipagpalagay ni Thomas na ang Merkle tree para sa sariling pitaka ni Kraken ay kasama ang lahat ng mga address na nasa ilalim ng kontrol nito. T makatuwiran para sa palitan na huwag isama ang mga ito, kung gusto nitong isama niya ang buong balanse nito sa kanyang pagsusuri.

Pagpapatunay ng mga pananagutan

Gayunpaman, ang mga bagay ay mas kumplikado sa panig ng mga pananagutan (ang mga bitcoin na hawak sa mga address ng customer ng Kraken), sa dalawang dahilan.

Una, ang isang hindi tapat na palitan na sumusubok na linlangin ang isang auditor ay maaaring nais na ibukod ang mga account ng customer mula sa puno ng mga pananagutan, dahil ang bawat isa sa mga account na ito ay nagdaragdag sa halaga na inutang ng exchange sa mga barya.

Ang pinakamadaling paraan upang patunayan na T nito ginawa iyon ay ang pag-publish lamang ng lahat ng balanse at address sa puno, kasama ang ugat ng Merkle.

Sa ganoong paraan, maaaring idagdag ng sinuman ang mga nilalaman ng mga address na iyon, at tingnan kung ang balanse ay tumutugma sa na-hash na puno. Pagkatapos ay maaari nilang i-hash ang parehong puno, at tiyaking tumugma ang Merkle root nito sa ONE -publish bilang bahagi ng audit.

Doon papasok ang pangalawang hamon. Karamihan sa mga palitan ay T na maisapubliko ang lahat ng impormasyong iyon, sabi ni Thomas.

Ang pag-publish ng mga balanse at address ay isang potensyal na isyu sa Privacy , at maaari ring magbunyag ng sensitibong impormasyon tungkol sa kung paano nila pinangangasiwaan ang kanilang mga wallet. Ang kabuuan ng lahat ng balanse ay sensitibong impormasyon din sa kompetisyon.

"Sinusubukan [ni Kraken] na magkamali sa panig ng pag-iingat at subukang huwag i-publish ang impormasyong iyon," paliwanag ni Thomas.

Sa halip, sinuri ni Thomas ang kabuuan ng mga balanse nang pribado at nagpatotoo na mayroong higit na mga ari-arian kaysa sa mga pananagutan. Pagkatapos ay sinunod ni Kraken ang isang rekomendasyon unang iminungkahi ng Bitcoin CORE developer na si Gregory Maxwell.

[post-quote]

Pinayuhan ni Maxwell ang mga exchange na i-publish sa publiko ang Merkle root. Pagkatapos, kapag kumonekta ang isang user, ipakita ang balanse ng kanilang account sa oras ng pag-audit nang pribado sa kanila, kasama ang mga piraso ng puno na nasa pagitan ng kanilang address at ugat ng puno.

Sa katunayan, binibigyan nito ang gumagamit ng isang sangay ng puno, na nagbibigay-daan sa kanila na patunayan na hindi bababa sa sila ay kasama sa sangay na ito noong ito ay na-hash. Sa ganitong paraan, tinitiyak ng user na kasama sa audit ang kanilang address.

Nasa mga user na magpatakbo ng pagsubok, tinitingnan kung ang kanilang address ay kasama sa pangkalahatang hash, at kung mas maraming mga pagsubok na nagaganap mula sa iba't ibang sangay, mas malaki ang posibilidad na mahuli ang isang palitan kung aalisin nito ang anumang mga address.

Nangangahulugan ba ito na ang balanse ay walang palya? Nakalulungkot, hindi.

Mga kahinaan sa proseso

"Sa anumang pag-audit, may ilang medyo malalaking butas na T mo maaaring takpan," sabi ni Thomas, na nagpapaliwanag.

"Kung ang isang palitan ay humiram ng Bitcoin para sa layunin ng pag-audit, mahirap malaman iyon. O ang isang palitan ay maaaring bumili ng ilang mga bitcoin mismo gamit ang kanilang mga fiat holdings."

Itinuturo ni Kraken ang iba pang mga pagkukulang sa proseso sa sarili nitong pahina, na naglalarawan sa proseso ng pag-audit. Una, T mapapatunayan ng palitan na T nagamit ng iba ang mga pribadong key nito, ibig sabihin, T nito maipakikita nang walang pag-aalinlangan na mayroon itong eksklusibong access sa mga bitcoin sa wallet nito.

Pangalawa, kailangang teknikal at mapagkakatiwalaan ang auditor, dahil may ilang bahagi pa rin ng proseso kung saan maaaring iligaw sila ng hindi tapat na palitan, o para iligaw ng auditor ang publiko, posibleng sa pakikipagtulungan sa palitan.

"Marami sa mga bagay na ito ay mahirap i-verify o patunayan," sabi ni Thomas, idinagdag:

"Ngunit hanggang sa ang pag-audit ay napupunta, ito ay nagbibigay sa iyo ng kaunting kumpiyansa na ang palitan ay tumatakbo nang maayos, at anumang pag-atake laban sa pag-audit ay may pagkakataong matuklasan."

Mahalaga, ang ganitong uri ng pag-audit ay "mas mahusay kaysa sa wala," paliwanag ni Thomas, na kasunod na nagsagawa ng isa pang pag-audit kasama ang mga katulad na linya para sa Bitcoin trading platform na Bitfinex.

Ang ganitong uri ng pag-audit ay maaaring hindi watertight, ngunit ito ay isang pinakamahusay na pagsisikap sa isang mabilis na pagbabago ng kapaligiran, at ang mga palitan tulad ng Kraken at Bitfinex ay nangunguna sa pagtiyak sa mga customer na nayanig ng Mt. Gox affair.

Gayunpaman, hanggang saan dapat ang mga pag-audit, at ano pa ang maaaring gawin upang matiyak na gumagana nang maayos ang mga palitan?

Lumalabas na marami pang pwedeng gawin. Sa ikalawang bahagi ng pagsisiyasat na ito (paparating na), tatalakayin natin ang mga opsyong iyon, at ilan sa mga palitan na nag-e-explore sa kanila.

Pag-audit larawan sa pamamagitan ng Shutterstock