作者|秦晓峰
编辑|郝
出品|Odaily星球日报
随着FTX的倒闭,集中平台尤其是CEX的资产储备备受关注。。多家交易平台也陆续公布了交易所账户地址,显示各种储备状况。Odaily星球日报之前写过一篇分析(推荐阅读《分析七大交易所资产储备明细,谁暴露了潜在风险?》)。
但是储备只是提高透明度的第一步,它可以';不能真正显示交易所的偿付能力。我们还应考虑交易所的负债(即用户的存款额)并发出一份完整的"储备券"。对CEX来说,"储备券"也是让人们放心,让用户更好地了解平台如何管理资产的重要一步。
在过去的几周里,Crypto.com的币安,库柯恩等地。发表了"储备券"由第三方审计机构出具。。然而,随着Mazars、Armanino等机构相继取消加密审计业务,加密用户疑虑重重,对CEX的信任再次引发讨论。
在本文中,我们将讨论为什么传统审计机构避免审计加密储备证书。?在没有传统审计的情况下,CEX的透明化之路是什么?基于Merke树的储备证能否成为行业自救的有效途径?什么是储备券(PoR)??这是一种验证加密平台是否为其代表客户保存的数字资产提供一对一支持的方法。简单来说,如果加密平台的钱包地址中的预留大于或等于用户';s保证金,可以证明平台资金充足,可以进行刚性兑付。
通常加密平台会从第三方寻求知名审计公司进行审计,并出具储备证书。本月早些时候,、Crypto.com、币安和库科恩都聘请了马扎集团发行"储备券"(注:Mazars集团是一家全球性的审计、会计和咨询公司,成立于1945年。,服务全球90多个国家)。
然而,Mazars集团';美国的报告也引起了更多的争议。《华尔街日报》评论说,马扎尔斯';报告实际上是一封五页的信,不是一份正式的审计报告。因为它不涉及内部财务报告控制的有效性。最终,迫于多方压力的Mazars集团删除了官网中的审计报告,并全面停止了加密货币交易所的审计工具MazarsVeritas。并表示将停止与加密货币公司的任何合作,不再出具储备证书报告。
无独有偶,为FTX美洲站(FTX)提供审计的会计事务所Armanino,美国),也计划结束加密审计业务。,停止向加密公司提供财务报表审计和储备证书报告服务。此外,《华尔街日报》报道称,BDO会计师事务所也计划暂停为加密货币客户提供审计服务。现在四大会计师事务所(德勤、安永;Young、KPMG和PricewaterhouseCoopers)没有向私人加密货币公司提供储备认证审计服务的计划。
审计公司为什么回避加密企业的存储认证业务?核心原因如下:
从审计公司本身来说,加密还是一个全新的领域。审核员对连锁业务不熟悉,专业能力不够,只能边做边学。币安创始人赵昌鹏评论说,大多数会计师事务所不会';我不知道如何审计加密货币交易。。加密公司不难欺骗"小白"熟悉领域的审计员。
而且审计公司在为加密企业服务时,只能根据企业的具体要求开展工作,自主性不够;仅审核储备证书不涉及内控审计和财务状况,最终报告的可靠性也要打折扣。比如一个平台用户,存款8000BTC,钱包地址9000BTC,但这并不代表交易所有100%的偿付能力。因为可能有3000BTC是平台向第三方借的,而审计公司并不知情。(注:审计公司通常只审计上市公司的内部控制和财务状况,而不审计私营公司,这也是矛盾所在。)
从实战结果来看,审计公司也会因为加密公司的审计(平台)惹上官司,声誉大打折扣,影响非加密业务的发展。不久的将来与FTX合作的两家会计师事务所阿玛尼诺和普雷格梅蒂斯注册会计师有限责任公司都被FTX用户起诉,并被指控合谋勒索金钱。《华尔街日报》评论说两家会计公司都是FTX的啦啦队员,而不是持怀疑态度的审计员。这些审计事务所的其他非加密客户担心事务所的声誉风险会使其审计报告受到质疑,从而给审计事务所带来压力。
最后由于FTX事件,美国证券交易委员会(SEC)正在加强对审计机构的监管,迫使审计机构放弃加密客户。SEC一名高级官员表示,该监管机构正在加强对审计师的审查';为加密货币公司工作。人们担心投资者可能会从这些公司的报告中获得一种虚假的安全感。
由于没有第三方审计机构,更多的加密交易平台致力于拥有自己的储备证书,并使用更多加密的原生方法来证明资产储备。
其中币安推广的MerkleTreereservecertificate备受关注,OKX、Bitget、ByBit基本都采用类似的方式,具体细节各交易所有所不同。在过去的几周里包括OKX在内的很多平台都用这个方案进行审核,并在官网公示。
(OKX储备公示)
基于Merke树的储备证明原理是什么?
默克尔树是一种可以压缩数据的加密技术。通过使用Merkel树,可以将多个数据合并为一个数据,并存储大规模数据汇总结果。同时也可以证明在汇总结果中,通过密码学的手段压缩了相应的数据。Merkel树的叶部分由数据集中每个数据的哈希值组成。具体来说,叶子部分的结构是将两个相邻的哈希值连接起来,打包在一起,再次哈希。生成父哈希值。最终打包到顶层的哈希值称为MerkleRoot。默克尔树根的哈希值包含了所有数据的哈希特征,任何一个被篡改的节点上的数据都会呈现完全不同的值。
简而言之,默克尔树是哈希二叉树,可以发现任何操纵或数据篡改。如果用户';的资产发生了变化,它将反映在根数据中,这将呈现完全不同的值。该机制可以保证Merke树的数据不被篡改。例如
,交易所对用户的所有交易账户资产进行快照并汇总成每个用户的总资产,然后给每个用户分配一个唯一的匿名用户hashID每个用户的总资产将被保存为默克尔树中的叶节点信息。,所有用户';资产将聚合成一个默克尔根;只要每个用户';的资产信息包含在默克尔树的叶节点中,可以证明他们的资产包含在总的用户资产中。为了帮助用户验证每个平台也发布了自己的开源验证工具"Merkle验证器"。用户可以输入他们自己的哈希值和用户代码,以验证他们的资产是否包含在默克尔树快照中。
当然。基于Merke树的储备证书也存在一些缺陷。
首先,储备证书只是用户的快照';的资产,快照之后的任何资产交易和审计时未涵盖的资产将不包括在此审计结果中。,平台完全可以在审计日通过Merke树审计,资产快照后进行资金划转。解决办法是交易平台可以增加审计公示的频率(目前OKX和币安都是每月发布PoR报告),从每月一次增加到每周一次。甚至未来发展到实时证明。而且第三方监测机构也可以紧盯交易所公布的钱包地址,观察审计日前后是否有大额流入流出。
第二,像传统审计。基于Merke-tree的准备金认证也难以反映公司的内部财务状况,如债务关系、关联交易等,降低了独立准备金审计的可靠性。
第三是前端欺诈问题。默克尔树数据存储在交易所';自己的服务器。用户与交易所互动的前端页面由交易所控制,交易所可能会返回虚假页面欺骗用户,可能导致前端欺诈;考虑到用户的惯性,用户通过平台进行自我验证的可能性较小,频率较低';的开源验证工具。
解决方案是可以使用第三方PoR服务来提高报告的可靠性。例如,ChainlinkLabs提供了一套现成的解决方案。明确地,它将使用连接到exchangeAPI的Chainlink节点及其保险库地址;这些节点然后连接到储备认证的智能合约,该合约可以被网络上的任何账户查询,以确定交易所的资产是否等于其负债。
第四,备付金凭证仅涵盖部分资产,不能全面反映交易所的财务状况。就拿毕';举个例子,它的第一张储备证只涉及BTC资产。证书的第二阶段扩展到9个资产,即BTC、瑞士联邦理工学院、BNB、LTC、USDC、USDT、XRP、BUSD和领汇。还有OKX和Bitget'的当前报告,全部只涉及BTC、瑞士联邦理工学院和USDT。——南森数据显示目前三项资产分别占OKX和Bitget储备的92.63%和63.2%;Bybit储备证书报告涉及BTC、ETH、USDT和TRX。,占其钱包储备的81.13%,不涉及USDC(6.16%)和比特(5.96%)。因此,交易平台下一步需要努力拓展更多的货币验证,否则所谓的1:1备付金将成为空谈。
";储备证既不是公司的综合会计';的资产负债,也不符合《证券法》规定的客户资金隔离要求。"美国证交会主席加里詹斯勒(GaryGensler)表示,监管机构仍将专注于加密公司的财务记录。"加密公司应通过遵守久经考验的托管规则、客户资金隔离和会计规则来做到这一点。"
虽然SEC等监管机构并不看好储备证,但在缺乏第三方审计的情况下,基于Merke-tree的储备认证是拯救行业的有效尝试。加密市场需要更加公开透明的信息,加密平台正在通过自身努力重建用户信心。当然,储量的链式核实是一个全新的领域,还有很长的路要走。