Defeitos e Melhorias dos Métodos de Prova de Reserva de Exchange Centralizada
Após o colapso da FTX, a confiança do mercado em instituições centralizadas caiu drasticamente. Em seguida, várias exchanges começaram a preparar ativamente provas de reservas para garantir aos usuários a segurança dos fundos. No entanto, o método de prova de reservas baseado em Merkle Tree amplamente adotado apresenta algumas falhas básicas. Este artigo irá explorar essas falhas em profundidade e propor algumas sugestões de melhoria.
Como funciona o método de prova de reservas existente
Para reduzir a assimetria de informação, a prova de reserva atual geralmente adota métodos de auditoria tradicionais. Especificamente, um relatório é emitido por uma empresa de auditoria de terceiros confiável, comprovando que a quantidade de ativos mantidos na cadeia pela instituição (prova de reserva) corresponde ao total de saldos de ativos dos usuários (prova de passivo).
Em relação à prova de dívida, as instituições devem gerar uma Merkle Tree que inclua informações da conta do usuário e o saldo de ativos. Esta tecnologia essencialmente cria uma instantânea anonimizada e imutável do saldo de ativos da conta do usuário. Os usuários podem calcular independentemente o hash da sua conta e verificar se a sua conta está incluída na Merkle Tree.
No que diz respeito à prova de reservas, as instituições devem fornecer e verificar os endereços on-chain que possuem. A prática comum é exigir que as instituições forneçam uma assinatura digital para provar a propriedade do endereço on-chain.
Após a conclusão do snapshot da Merkle Tree e da confirmação da propriedade dos endereços em cadeia, a entidade auditora verifica o total de ativos nos dois lados da dívida e da reserva, avaliando se a instituição desviou fundos dos usuários.
Defeitos nos métodos existentes de prova de reserva
1. Usar fundos emprestados através da possibilidade de auditoria
Um dos principais problemas dos métodos de prova de reserva é que a auditoria geralmente se baseia em um ponto específico no tempo, e os intervalos podem durar meses ou até anos. Isso significa que as Exchanges Centralizadas ainda têm a oportunidade de desviar os fundos dos usuários e preencher a lacuna através de empréstimos durante o período de auditoria.
2. Conluir com entidades financeiras externas sobre a possibilidade de auditoria
Fornecer assinaturas digitais relevantes não é equivalente à propriedade real dos ativos no respectivo endereço. Instituições centralizadas podem conluir com financiadores externos para fornecer provas de ativos em cadeia. Pior ainda, os financiadores externos podem até usar o mesmo capital para fornecer provas de ativos para várias instituições ao mesmo tempo. Os métodos de auditoria atuais têm dificuldade em identificar esse tipo de fraude.
Sugestões para melhorar o método de prova
Um sistema ideal de prova de reservas deve permitir que auditores e usuários verifiquem em tempo real as obrigações e reservas. No entanto, isso pode acarretar altos custos ou levar ao vazamento de informações das contas dos usuários. Com dados suficientes, empresas de auditoria de terceiros podem até inferir informações sobre as posições dos usuários com base em dados anônimos.
Para evitar que os certificados de reserva sejam falsificados durante o período de auditoria e para evitar a divulgação de informações dos usuários, aqui estão duas principais sugestões de melhoria:
1. Auditoria aleatória por amostragem
A auditoria aleatória em intervalos de tempo imprevisíveis pode dificultar a manipulação dos saldos de contas e ativos na cadeia por instituições centralizadas. Este método também pode servir como uma dissuasão contra comportamentos inadequados, devido ao receio de ser auditado aleatoriamente.
Método de prática: uma entidade de auditoria confiável e de terceiros envia aleatoriamente um pedido de auditoria para a Exchange Centralizada. Após receber a instrução, a entidade deve gerar uma Merkle Tree que contenha o saldo das contas dos usuários em um ponto no tempo específico (marcado pelo número da altura do bloco), como prova de passivo.
2. Aplicar o esquema MPC-TSS para acelerar a prova de reservas
Requisitos de auditoria aleatória exigem que instituições centralizadas forneçam prova de reservas em um curto espaço de tempo, o que representa um grande desafio para instituições que gerenciam um grande número de endereços on-chain (como exchanges). Mesmo que a instituição armazene a maior parte de seus ativos em poucos endereços fixos (como carteiras quentes ou frias), o montante total de fundos dispersos em muitos endereços ainda é considerável. Consolidar todos os fundos em poucos endereços públicos durante a auditoria é um trabalho demorado, e esse intervalo de tempo pode ser utilizado para buscar empréstimos ou ajuda financeira para preencher lacunas.
Uma possível solução é utilizar a tecnologia de esquemas de assinatura com limite MPC (MPC-TSS), permitindo que as instituições provem diretamente a reserva nos endereços que realmente possuem os ativos, sem a necessidade de consolidar os ativos em cadeia em poucos endereços.
MPC-TSS é uma tecnologia de criptografia avançada que divide uma chave privada em múltiplos fragmentos criptografados, mantidos por várias partes. Os detentores dos fragmentos da chave privada podem assinar transações em conjunto sem trocar seus fragmentos ou combinar a chave privada.
Neste esquema, uma entidade de auditoria terceirizada (como um escritório de advocacia, uma empresa de auditoria, um custodiante ou uma entidade reguladora) pode manter uma fração da chave privada, enquanto a entidade centralizada mantém as frações restantes. Definir o "limite" como um número maior que um garante que todos os ativos ainda sejam controlados pela entidade centralizada. Vale ressaltar que, para que a entidade possa gerar um grande número de endereços co-geridos pela parte de auditoria, o esquema de co-gerenciamento MPC-TSS deve suportar o protocolo BIP32.
Ao deter um fragmento de chave privada, a entidade de auditoria pode determinar o conjunto de endereços on-chain da entidade centralizada e contabilizar a sua escala de ativos em uma altura de bloco específica. Este método não só melhora a eficiência da auditoria, mas também aumenta a credibilidade da prova de reserva.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
17 Curtidas
Recompensa
17
9
Repostar
Compartilhar
Comentário
0/400
OnChainDetective
· 07-19 18:06
Às 3h47 da manhã, monitorizou-se uma transferência suspeita de grandes quantias de ativos. Essas chamadas provas de reserva são todas uma ilusão.
Ver originalResponder0
NftDeepBreather
· 07-19 08:18
Não entendi os problemas de segurança, só sei que ganhar dinheiro é confiável.
Ver originalResponder0
CoffeeOnChain
· 07-18 12:51
Esta verificação é só uma brincadeira.
Ver originalResponder0
ZkSnarker
· 07-17 21:37
bem, tecnicamente as árvores de merkle são apenas folhas de cálculo elegantes com passos extras lmao
Ver originalResponder0
GreenCandleCollector
· 07-17 21:29
A culpa ainda é do Liu Bo.
Ver originalResponder0
TaxEvader
· 07-17 21:27
Hehe, quem acredita é tolo.
Ver originalResponder0
SerumDegen
· 07-17 21:27
ser, já fomos enganados por auditores antes... confie apenas no código.
Ver originalResponder0
CryptoFortuneTeller
· 07-17 21:18
Quem acreditaria em um novo FTX?
Ver originalResponder0
SighingCashier
· 07-17 21:12
Só sei falar sobre certificados de reserva, quem sabe como se joga nos bastidores.
Revelando as falhas do método de prova de reserva: como as exchanges podem melhorar a auditoria de segurança dos fundos
Defeitos e Melhorias dos Métodos de Prova de Reserva de Exchange Centralizada
Após o colapso da FTX, a confiança do mercado em instituições centralizadas caiu drasticamente. Em seguida, várias exchanges começaram a preparar ativamente provas de reservas para garantir aos usuários a segurança dos fundos. No entanto, o método de prova de reservas baseado em Merkle Tree amplamente adotado apresenta algumas falhas básicas. Este artigo irá explorar essas falhas em profundidade e propor algumas sugestões de melhoria.
Como funciona o método de prova de reservas existente
Para reduzir a assimetria de informação, a prova de reserva atual geralmente adota métodos de auditoria tradicionais. Especificamente, um relatório é emitido por uma empresa de auditoria de terceiros confiável, comprovando que a quantidade de ativos mantidos na cadeia pela instituição (prova de reserva) corresponde ao total de saldos de ativos dos usuários (prova de passivo).
Em relação à prova de dívida, as instituições devem gerar uma Merkle Tree que inclua informações da conta do usuário e o saldo de ativos. Esta tecnologia essencialmente cria uma instantânea anonimizada e imutável do saldo de ativos da conta do usuário. Os usuários podem calcular independentemente o hash da sua conta e verificar se a sua conta está incluída na Merkle Tree.
No que diz respeito à prova de reservas, as instituições devem fornecer e verificar os endereços on-chain que possuem. A prática comum é exigir que as instituições forneçam uma assinatura digital para provar a propriedade do endereço on-chain.
Após a conclusão do snapshot da Merkle Tree e da confirmação da propriedade dos endereços em cadeia, a entidade auditora verifica o total de ativos nos dois lados da dívida e da reserva, avaliando se a instituição desviou fundos dos usuários.
Defeitos nos métodos existentes de prova de reserva
1. Usar fundos emprestados através da possibilidade de auditoria
Um dos principais problemas dos métodos de prova de reserva é que a auditoria geralmente se baseia em um ponto específico no tempo, e os intervalos podem durar meses ou até anos. Isso significa que as Exchanges Centralizadas ainda têm a oportunidade de desviar os fundos dos usuários e preencher a lacuna através de empréstimos durante o período de auditoria.
2. Conluir com entidades financeiras externas sobre a possibilidade de auditoria
Fornecer assinaturas digitais relevantes não é equivalente à propriedade real dos ativos no respectivo endereço. Instituições centralizadas podem conluir com financiadores externos para fornecer provas de ativos em cadeia. Pior ainda, os financiadores externos podem até usar o mesmo capital para fornecer provas de ativos para várias instituições ao mesmo tempo. Os métodos de auditoria atuais têm dificuldade em identificar esse tipo de fraude.
Sugestões para melhorar o método de prova
Um sistema ideal de prova de reservas deve permitir que auditores e usuários verifiquem em tempo real as obrigações e reservas. No entanto, isso pode acarretar altos custos ou levar ao vazamento de informações das contas dos usuários. Com dados suficientes, empresas de auditoria de terceiros podem até inferir informações sobre as posições dos usuários com base em dados anônimos.
Para evitar que os certificados de reserva sejam falsificados durante o período de auditoria e para evitar a divulgação de informações dos usuários, aqui estão duas principais sugestões de melhoria:
1. Auditoria aleatória por amostragem
A auditoria aleatória em intervalos de tempo imprevisíveis pode dificultar a manipulação dos saldos de contas e ativos na cadeia por instituições centralizadas. Este método também pode servir como uma dissuasão contra comportamentos inadequados, devido ao receio de ser auditado aleatoriamente.
Método de prática: uma entidade de auditoria confiável e de terceiros envia aleatoriamente um pedido de auditoria para a Exchange Centralizada. Após receber a instrução, a entidade deve gerar uma Merkle Tree que contenha o saldo das contas dos usuários em um ponto no tempo específico (marcado pelo número da altura do bloco), como prova de passivo.
2. Aplicar o esquema MPC-TSS para acelerar a prova de reservas
Requisitos de auditoria aleatória exigem que instituições centralizadas forneçam prova de reservas em um curto espaço de tempo, o que representa um grande desafio para instituições que gerenciam um grande número de endereços on-chain (como exchanges). Mesmo que a instituição armazene a maior parte de seus ativos em poucos endereços fixos (como carteiras quentes ou frias), o montante total de fundos dispersos em muitos endereços ainda é considerável. Consolidar todos os fundos em poucos endereços públicos durante a auditoria é um trabalho demorado, e esse intervalo de tempo pode ser utilizado para buscar empréstimos ou ajuda financeira para preencher lacunas.
Uma possível solução é utilizar a tecnologia de esquemas de assinatura com limite MPC (MPC-TSS), permitindo que as instituições provem diretamente a reserva nos endereços que realmente possuem os ativos, sem a necessidade de consolidar os ativos em cadeia em poucos endereços.
MPC-TSS é uma tecnologia de criptografia avançada que divide uma chave privada em múltiplos fragmentos criptografados, mantidos por várias partes. Os detentores dos fragmentos da chave privada podem assinar transações em conjunto sem trocar seus fragmentos ou combinar a chave privada.
Neste esquema, uma entidade de auditoria terceirizada (como um escritório de advocacia, uma empresa de auditoria, um custodiante ou uma entidade reguladora) pode manter uma fração da chave privada, enquanto a entidade centralizada mantém as frações restantes. Definir o "limite" como um número maior que um garante que todos os ativos ainda sejam controlados pela entidade centralizada. Vale ressaltar que, para que a entidade possa gerar um grande número de endereços co-geridos pela parte de auditoria, o esquema de co-gerenciamento MPC-TSS deve suportar o protocolo BIP32.
Ao deter um fragmento de chave privada, a entidade de auditoria pode determinar o conjunto de endereços on-chain da entidade centralizada e contabilizar a sua escala de ativos em uma altura de bloco específica. Este método não só melhora a eficiência da auditoria, mas também aumenta a credibilidade da prova de reserva.