傳統審計方退場,CEX儲備證明將何去何從?
作者| 秦曉峰
編輯| 郝方舟
出品| Odaily
作者| 秦曉峰編輯| 郝方舟)。
出品| Odaily
作者| 秦曉峰
編輯| 郝方舟
出品| Odaily
作者| 秦曉峰
編輯| 郝方舟出品| Odaily。
隨著FTX 的崩潰,中心化平台特別是CEX 的資產儲備問題備受關注。多個交易平台也陸續公佈了交易所賬戶地址,展示各家儲備金狀況,Odaily此前曾撰文分析(推薦閱讀
《分析七大交易所資產儲備明細,誰暴露了潛在風險? 》但是,儲備金只是提高透明度的第一步,並不能真正展示交易所的償付能力,還應該考慮交易所負債情況(即用戶存款量),出具完整的「儲備證明」。對於CEX 而言,「儲備證明」也是安撫人心、讓用戶更好地了解平台如何管理資產的重要一步。過去幾週,Binance、Crypto.com、Kucoin 等紛紛公佈了由第三方審計機構出具的「儲備證明」。然而隨著Mazars、Armanino 等機構紛紛取消加密審計業務,加密用戶疑竇叢生,CEX 信任度再次引發討論。
本文,我們將探討,為什麼傳統審計機構對加密儲備證明審計避而遠之?在傳統審計缺位的狀態下,CEX 的透明化之路究竟何去何從?基於默爾克樹的儲備證明,能否成為行業自救的有效途徑?
一、審計公司為何放棄加密企業?儲備證明(PoR)是什麼?它是一種驗證加密平台確實為其代表客戶保管的數字資產提供1: 1 支持的方法。簡單來說,如果加密平台錢包地址中儲備金大於或等於用戶存款,可以證明平台資金充足,能夠進行剛性兌付。
通常,加密平台會尋求第三方具有知名度的審計公司進行審計,出具儲備證明。本月初,Binance、Crypto.com、Kucoin 都聘請了Mazars Group 出具「儲備證明」(注:Mazars Group 是一家全球性的審計、會計和諮詢公司,成立於1945 年,服務全球90 多個國家)不過,Mazars Group 的報告也引來了更多的爭議。 《華爾街日報》評論稱,Mazars 的報告實際上是一封五頁的信,而不是一份恰當的審計報告,因為其沒有涉及內部財務報告控制的有效性。最終,面臨多方壓力的Mazars Group 在官網刪除了審計報告,完全停止用於加密貨幣交易所的審計工具Mazars Veritas,並且對外表示將停止與加密貨幣公司的任何工作,不再出具儲備證明報告。
無獨有偶,為FTX 美國站(FTX.US)提供審計的會計事務所Armanino 也計劃結束加密審計業務,停止向加密公司提供財務報表審計和儲備證明報告服務。此外,《華爾街日報》
報導稱,會計事務所BDO 也計劃暫停為加密貨幣客戶提供審計服務。目前,四大會計師事務所(德勤、安永、畢馬威和普華永道)均沒有對私人加密貨幣公司提供儲備證明審計服務的計劃。為什麼審計公司會對加密企業儲備證明業務避而遠之?核心原因有以下幾點:
從審計公司自身來說,加密仍然是一個全新的領域,審計師對於鏈上業務熟悉度不夠,專業能力不過關,只能邊做邊學。
Binance 創始人趙長鵬評論稱,大多數會計師事務所不知道如何審計加密貨幣交易所。加密企業想要在自己熟悉的領域矇騙“小白”審計師,難度並不高。
舉個例子,某平台用戶存款8000 BTC,錢包地址中有9000 BTC,但這並不意味著交易所擁有100% 償付能力,因為其中可能有3000 BTC 是該平台從第三方借款獲得,而審計公司並不知情。
(注:審計公司通常只對上市公司內部控制以及財務狀況審計,對於私營公司則不需要,這也是矛盾點所在。)
近期,與FTX 合作的兩家會計事務所Armanino、 Prager Metis CPAs LLC 雙雙被FTX 用戶起訴,被指控共謀敲詐勒索。 《華爾街日報》評論稱,兩家會計事務所都是FTX 的啦啦隊,而不是持懷疑態度的審計師。這些審計公司的其他非加密行業客戶,擔心該事務所的聲譽風險會使他們的審計報告也受到質疑,進而對審計公司施加壓力。
圖片描述
最後,由於FTX 事件,美國證券交易委員會(SEC) 正在加強對審計機構的監管,迫使審計機構放棄加密客戶。
二、默克爾樹儲備證明保證透明度
圖片描述
由於第三方審計機構缺位,更多的加密交易平台致力於擁有自己的儲備證明,使用更多加密原生方法來證明資產儲備。其中,由Binance 主推的默克爾樹(Merkle Tree)儲備金證明備受關注,OKX、Bitget 以及ByBit 也基本採用類似的方式,具體細節因交易所而異。過去幾週,包括OKX 在內的多家平台,均使用該方案進行審計,並在官網進行公示。
圖片描述
(OKX 儲備公示)基於默爾克樹的儲備證明的原理是怎樣的?
默克爾樹是一種可以將數據壓縮的密碼學技術,通過使用默克爾樹,多個數據可以合併成一個數據,並且將較大規模的數據匯總結果存儲;同時,又可以通過密碼學的手段證明對應的數據被壓縮在了匯總結果當中。默克爾樹的樹葉部分由數據集當中每個數據的哈希值所構成。具體來說,樹葉部分的構造是將兩個相鄰的哈希值連起來,打包到一塊再次哈希化,以產生母哈希值。最後打包到最上層的哈希值被稱為默克爾樹根(Merkle Root)。默克爾樹根的哈希值包含了所有數據的哈希特徵,哪個節點上數據被篡改,都將呈現完全不同的值。
簡單來說,默克爾樹是一種哈希二叉樹,能夠發現任何操縱或數據篡改。如果用戶資產發生改動,則會體現至樹根數據中,將呈現完全不同的值,此機制能確保默爾克樹的數據具有不可篡改性。舉個例子,交易所對用戶所有交易賬戶資產進行快照匯總為每個用戶的總資產,此時再為每個用戶分配一個唯一且匿名的用戶哈希ID;每個用戶總資產會作為葉節點的信息保存到默克爾樹中,所有用戶的資產會匯總為一個默克爾樹根;只要每個用戶的資產信息被包括在默克爾樹的葉節點內,即可證明他們的資產被包括在總用戶資產內。為了幫助用戶驗證,各家平台也發布了自己的開源驗證工具“Merkle Validator ”,用戶可以將自己的哈希值以及用戶代碼等信息輸入,以驗證自己的資產是否包含在默克爾樹快照中。
當然,基於默爾克樹的儲備證明也存在一些缺陷。
一是儲備證明只是審計時用戶的資產快照,快照結束後的任何資產交易及審計時未被涵蓋的資產將不被包含在此審計結果內,平台完全可以在審計日轉入資金通過默爾克樹審計,並在資產快照後轉出資金。
默克爾樹數據存在交易所自家服務器上,用戶與交易所交互的前端頁面是交易所掌控的,交易所完全可能返回假的頁面來欺騙用戶,存在前端欺詐的可能性;考慮到用戶惰性,用戶通過平台的開源驗證工具進行自我驗證的可能性以及頻次較小。
相關閱讀
