Defectos y propuestas de mejora del método de prueba de reservas

Después del incidente de FTX, las promesas de los intercambios sobre la seguridad de los activos de los usuarios han sido seriamente cuestionadas. Para reconstruir la confianza, varias plataformas han comenzado a adoptar el método de prueba de reservas de Merkle Tree. Sin embargo, este método presenta algunas deficiencias fundamentales. Este artículo explorará estas deficiencias y propondrá sugerencias de mejora.

Resumen de los métodos de prueba de reservas existentes

La prueba de reservas actual suele ser realizada por empresas de auditoría de terceros, con el objetivo de verificar si los activos en cadena de la plataforma (reservas) coinciden con el saldo de los activos de los usuarios (pasivos).

En cuanto a la prueba de deuda, la plataforma debe generar un Merkle Tree que contenga la información de la cuenta del usuario y el saldo de activos, formando una instantánea de cuenta anónima e inmutable. Los usuarios pueden verificar de forma independiente si su cuenta está incluida.

En cuanto a las pruebas de reserva, la plataforma debe proporcionar y verificar las direcciones en cadena que posee, generalmente demostrando la propiedad de la dirección a través de firmas digitales.

La agencia de auditoría luego compara el total de activos en ambos extremos, pasivos y reservas, para determinar si la plataforma ha malversado fondos de los usuarios.

Principales deficiencias de los métodos existentes

1. Posibilidad de auditoría de los fondos prestados

Debido a que las auditorías generalmente se basan en puntos de tiempo específicos y tienen intervalos largos, la plataforma aún tiene la oportunidad de cubrir temporalmente el déficit de fondos a través de préstamos durante el período de auditoría.

2. Riesgo de conspirar con partes externas

Proporcionar una firma digital no equivale a la propiedad real de los activos. La plataforma puede conspirar con fuentes de financiación externas, e incluso un mismo activo puede ser utilizado para respaldos de múltiples instituciones. Los métodos de auditoría existentes tienen dificultades para identificar este tipo de fraude.

Sugerencias de mejora

Un sistema ideal de prueba de reservas debería soportar verificaciones en tiempo real, pero esto puede conllevar altos costos y riesgos de filtración de información del usuario. Para mejorar la fiabilidad de la prueba sin comprometer la información del usuario, se proponen las siguientes recomendaciones:

1. Auditoría aleatoria por muestreo

Realizar auditorías aleatorias a intervalos de tiempo impredecibles para aumentar la dificultad de manipular los registros de la plataforma. La entidad auditora puede enviar instrucciones de auditoría de forma aleatoria a la plataforma, solicitando la generación de un Merkle Tree en un momento específico, que incluya el saldo de las cuentas de los usuarios en ese momento.

2. Utilizar MPC-TSS para acelerar la prueba de reservas

Los requisitos de auditoría aleatoria exigen que la plataforma proporcione rápidamente pruebas, lo que representa un desafío para las plataformas que gestionan una gran cantidad de direcciones en la cadena. La utilización de la tecnología de firma umbral de cálculo multipartito (MPC-TSS) podría ser una solución.

En este esquema, la entidad auditora posee un fragmento de la clave privada, mientras que la plataforma posee los fragmentos restantes. Establecer un umbral adecuado garantiza que la plataforma mantenga el control sobre los activos. El esquema MPC-TSS debe ser compatible con el protocolo BIP32 para generar una gran cantidad de direcciones en custodia conjunta. La entidad auditora, gracias al fragmento de la clave privada, puede determinar el conjunto de direcciones en la cadena de la plataforma y contabilizar la escala de activos en la altura de bloque designada.

Estas medidas de mejora tienen el potencial de aumentar la fiabilidad de la prueba de reservas, pero aún se necesita explorar y perfeccionar más. Con el desarrollo de la tecnología, podrían surgir más soluciones innovadoras que ofrezcan una mayor protección para la seguridad de los activos de los usuarios.