Почему аудиты Bitcoin бирж T заходят достаточно далеко

Эксперты, которые проверяли биржи Bitcoin , утверждают, что им предстоит еще многое сделать, чтобы доказать клиентам свою репутацию, но решения уже не за горами.

На прошлой неделе

, CoinDesk исследовал обмен Bitcoin Кракен, и показал вам, как компания сделала все возможное, чтобы доказать, что у нее есть биткоины, о которых она заявляла.

Знаменитый Bitcoin блогер Стефан Томас использовал криптографические доказательства, чтобы подтвердить, что американская биржа T пострадает, если начнется массовое изъятие ее биткоинов, и что она T смутится внезапно, как Mt. Gox, обнаружив, что хакер тайно крадет ее монеты.

Kraken с честью прошел проверку, так какесть другие. Но были ли проверки достаточно глубокими? Насколько глубоким должен быть аудит и что еще он должен охватывать?

Почему необходимы улучшения

Аудит, который провел Томас, был сосредоточен на том, сколько биткоинов имелось у биржи и сколько она была должна клиентам. В законной среде обмена первое должно быть больше второго.

Аудит Kraken последовал за всплеском активности после краха Mt Gox, когда биржи начали уверять клиентов в наличии у них заявленных биткоинов.

«Это реакция на Mt Gox», — говорит Томас. Компания, которая приостановила вывод средств, а затем заявила, что потеряла сотни тысяч биткоинов, оставила после себя разгневанных пользователей.

Томас рассказал CoinDesk, что раньше дела обстояли еще хуже:

«Я помню, когда эти сервисы работали анонимно и случилась катастрофа с MyBitcoin.com, то почти ONE больше не хотел пользоваться анонимно работающими сервисами».

Это была ссылка на анонимно управляемый кошелек, которыйутверждал, что потерялчуть более половины биткоинов его пользователей.

Он добавил: «В будущем люди T будут пользоваться биржами, которые T допускают никакой формы аудита».

Эти проверки были попыткой сделать что-то ощутимое в сжатые сроки, но вряд ли они станут окончательным решением.

Когда аудит не является аудитом?

Джесси Пауэлл, генеральный директор Kraken, говорит, что он уже планирует провести повторную проверку первоначального аудита своей биржи в NEAR будущем.

[после цитаты]

Представитель Coinbase, которая также провела стороннюю проверку своих резервов Bitcoin , добавил, что компания также проводит более комплексные последующие проверки.

Что должны охватывать такие проверки, и что было упущено в первый раз? Мы можем многому Словарь у Андреаса Антонопулоса, главного сотрудника по безопасности Blockchain, которого вызвали для проверки резервов Bitcoin Coinbase еще в феврале.

«Аудит» — это T пустое слово, сказал Антонопулос, который конкретно T ссылалсяк его проверке в качестве аудита в первый раз.

Он предпочитает называть это выборочной проверкой, добавляя: «Я намеренно использовал менее резкие выражения, потому что, по моему мнению, аудит — это гораздо более всеобъемлющий и строгий процесс. Если вы видите аудит, который занимает менее трех-четырех недель, это T аудит».

«[В ходе аудита] они посещают объекты, и у них есть команды, которые создают комплексный отчет и подписывают его».

Проведение комплексных аудитов

Надлежащий аудит T будет фокусироваться исключительно на резервах Bitcoin , продолжил Антонопулос, утверждая, что для удовлетворительного аудита Bitcoin биржи потребуются три основные области:

• Резервы Bitcoin

Аудит резервов Bitcoin доказывает, что у биржи есть заявленные биткоины.

• Операции Фиат

Недобросовестная биржа, не имеющая достаточного количества биткоинов для покрытия счетов своих клиентов, может просто купить их больше за доллары или другую валюту и скрыть любые пробелы в своих счетах, просто переводя деньги из фиатных валют в Bitcoin и обратно. Аудиторы Bitcoin биржи в идеале должны были бы проверить фиатные счета компании, чтобы определить, происходит ли это.

• Безопасность

Проверка текущих систем кибербезопасности фирмы подтвердила бы, что никаких видимых взломов не было.

Однако эти пункты сами по себе не удовлетворяют критериям Антонопулоса для настоящего аудита.

Компании T стоят на месте, и надлежащий аудит должен включать элемент проверки на будущее. Поэтому он делит каждую из этих трех областей на еще две области: немедленные проверки и опережающее управление.

Это дает нам структуру, подобную ONE (на фото), которую, по его словам, должен иметь любой по-настоящему всеобъемлющий аудит Bitcoin :

Проблемы есть как в области выборочной проверки, так и в области управления. Для начала, действительно всеобъемлющий аудит Bitcoin должен охватывать несколько дисциплин.

В мире много очень хороших Bitcoin технологов и много хороших бухгалтеров, но между ними T большого пересечения.

«Это бизнес, который может принести большой доход и создать полезную услугу для отрасли», — сказал Антонопулос. «Это был бы бизнес, объединяющий CPA и финансовых аудиторов, аудиторов безопасности для информационной безопасности и знания криптовалют, и он мог бы проводить специализированные аудиты для такого рода бизнеса».

Однако сейчас это то, что биржи должны придумать сами.

Джесси Пауэлл, заявивший, что он работает над аудитом, охватывающим фиатную сторону своей деятельности, развил идеи Антонопулоса:

«Фирма должна будет самостоятельно иметь глубокие познания в области Bitcoin, Криптo, уметь проверять код или писать свой собственный, знать о возможностях любой из сторон скомпрометировать аудит и иметь возможность предотвращать эти компрометации. Традиционно этот набор навыков не является тем, чем славятся бухгалтерские фирмы».

Будущий аудит Kraken будет учитывать эти вопросы. Фирма работает над аудитом на основе фиатных денег, сказал он, объяснив:

« ONE будет комплексным, включая все криптовалюты и фиатные деньги. После этого последуют другие виды аудита компании в целом, [включая] управленческую команду, безопасность и ETC.».

Coinbase также подтвердила, что в ходе следующего аудита она сосредоточится на проверках как фиатных денег, так и Криптовалюта .

Эта задача достаточно сложна для бирж, пытающихся развивать свой бизнес и справляться с множествомрегулирующий и технические препятствия. И это всего лишь ONE момент времени. Аудиты должны проводиться неоднократно, чтобы гарантировать, что предприятия остаются соответствующими.

Почему биржам нужны повторные аудиты

На данный момент доказательства резервов Kraken и Coinbase стареют: это снимки, сделанные в прошлом. Чем старше становятся эти снимки, тем менее они актуальны. Повторные аудиты KEEP подтверждать биржу, что гарантирует клиентам безопасность их средств.

Однако, по словам Томаса, есть еще одна причина, по которой аудит следует повторять: проведение последующих аудитов разными сторонами снижает необходимость доверять ONE эксперту, например, ему самому.

«Доверие к этим проверкам возникает, когда их повторяют разные люди. Кажется, что меньше вероятность, что биржа солжет или подкупит аудитора».

С этой целью он решил не проводить никаких последующих аудитов для Bitfinex или Kraken, потому что он хочет побудить фирмы использовать других сторонних аудиторов. Хотя в настоящее время он не планирует никого, он с радостью проведет аудиты для других бирж.

Существуют способы повысить текущее воздействие аудита за счет обеспечения надлежащего управления, и это можно сделать в нескольких областях аудита, выделенных здесь.

С точки зрения кибербезопасности, программы white-hat, безусловно, являются похвальными способами поиска ошибок в программном обеспечении, но также важно проверить, что компании имеют достаточные средства контроля, чтобы избежать взлома в будущем. Для этого существуют устоявшиеся стандарты, такие какИСО 27000серии иКОБИТ.

Что касается резервов Bitcoin , то должна быть возможность проводить регулярные автоматизированные выборочные проверки, которые автоматически обновляются каждый день, предположил Антонопулос.

Обмен может автоматически хешироватькорень Меркладля его холодного хранения, чтобы создать доказательство его активов — биткоинов, которые у него есть.

Он также может хэшировать балансы учетных записей пользователей, чтобы создать корень Меркла для биткоинов, хранящихся на счетах его клиентов, что будет являться доказательством ответственности.

Затем эти два корня Меркла можно было бы сравнить между собой.

Но как пользователи будут автоматически проверять, что их балансы были включены в доказательство обязательств? Они могли бы использовать ту же функцию, которая была реализована во время аудита Kraken, с помощью которой пользователи могут лично проверить, что их адрес был включен в дерево, создавшее корень Merkle.

Автоматизация процесса

Проблема в том, что в настоящее время пользователи биржи должны быть технически подкованы, чтобы проводить эти проверки, а это значит, что многие из них T будут. Вместо этого эта проверка может быть сделана за них с использованием независимо проверенного программного обеспечения, сказал Антонопулос:

«ONE из вещей, которую мы, возможно, захотим увидеть в отрасли, является, по сути, гораздо более удобный виджет. Давайте представим, что у вас есть сторонний виджет JavaScript, который всплывает внутри страницы из стороннего сервиса, который запускает Для вас проверку Криптo . Вы получаете зеленую галочку с балансом».

Сообщество Bitcoin T стоит на месте долго, и по крайней мере ONE такая система уже существует. Эту систему подтверждения платежеспособности можно подключить к биржам, чтобы предлагать как подтверждение ответственности, так и подтверждение платежеспособности.говорит его создатель.

И да, есть браузерный виджет, предназначенный для автоматической проверки того, что баланс пользователя включен в хэш, представляющий обязательства биржи.

Биржи Bitcoin , которые попытались успокоить клиентов таким образом, движутся в правильном направлении, но проведение финансового аудита — непростая задача, если вы новая организация, имеющая дело с совершенно новым классом активов, который многие бухгалтеры даже T понимают.

Будем надеяться, что вскоре больше бирж докажут не только свои резервы Bitcoin , но и свое хорошее управление в других областях. Как и сама сеть Bitcoin и бизнес-экосистема, способность бирж доказывать клиентам свою хорошую репутацию остается в процессе разработки.

Инструментыизображение через Shutterstock