Défauts et idées d'amélioration de la méthode de preuve de réserve

Après l'incident FTX, l'engagement des échanges envers la sécurité des actifs des utilisateurs a été gravement remis en question. Pour rétablir la confiance, plusieurs plateformes ont commencé à adopter la méthode de preuve de réserve des arbres de Merkle. Cependant, cette méthode présente certaines lacunes fondamentales. Cet article explorera ces lacunes et proposera des suggestions d'amélioration.

Aperçu des méthodes de preuve de réserve existantes

La preuve de réserve actuelle est généralement effectuée par des sociétés d'audit tierces, dans le but de vérifier si les actifs en chaîne de la plate-forme (réserve) correspondent aux soldes des actifs des utilisateurs (passifs).

En matière de preuve de dette, la plateforme doit générer un Merkle Tree contenant les informations du compte utilisateur et le solde des actifs, formant ainsi un instantané de compte anonyme et infalsifiable. Les utilisateurs peuvent vérifier de manière indépendante si leur compte est inclus.

En ce qui concerne les preuves de réserve, la plateforme doit fournir et vérifier les adresses sur la chaîne qu'elle détient, généralement en prouvant la propriété de l'adresse par une signature numérique.

L'institution d'audit a ensuite comparé le total des actifs des deux côtés, des passifs et des réserves, pour déterminer si la plateforme avait détourné des fonds d'utilisateurs.

Principales défauts des méthodes existantes

1. La possibilité d'audit des fonds de prêt

Étant donné que les audits sont souvent basés sur des points dans le temps spécifiques et qu'ils sont espacés, la plateforme a encore la possibilité de combler temporairement les lacunes de financement pendant la période d'audit grâce à des prêts.

2. Risques de collusion avec des parties externes

Fournir une signature numérique ne signifie pas que l'on possède réellement l'actif. La plateforme peut conspirer avec des financements externes, et un même actif peut être utilisé pour la preuve de réserve de plusieurs institutions. Les méthodes d'audit existantes ont du mal à identifier ce type de fraude.

Suggestions d'amélioration

Un système de preuve de réserve idéal devrait supporter des vérifications en temps réel, mais cela pourrait engendrer des coûts élevés et des risques de fuite d'informations des utilisateurs. Afin d'améliorer la fiabilité des preuves sans divulguer les informations des utilisateurs, les suggestions suivantes sont proposées :

1. Audit aléatoire par échantillonnage

Effectuer des audits aléatoires à des intervalles de temps imprévisibles pour augmenter la difficulté de manipulation des comptes de la plateforme. Les organismes d'audit peuvent envoyer des instructions d'audit aléatoires à la plateforme, demandant la génération d'un Merkle Tree à un moment spécifique, incluant le solde des comptes utilisateurs à ce moment-là.

2. Utiliser MPC-TSS pour accélérer la preuve de réserve

Les exigences d'audit aléatoire demandent à la plateforme de fournir rapidement des preuves, ce qui est un défi pour les plateformes gérant un grand nombre d'adresses en chaîne. L'utilisation de la technologie de signature de seuil de calcul multipartite (MPC-TSS) pourrait être une solution.

Dans ce modèle, l'organisme d'audit détient un fragment de clé privée, tandis que la plateforme détient les fragments restants. En définissant un seuil approprié, on peut garantir que la plateforme conserve le contrôle des actifs. La solution MPC-TSS doit prendre en charge le protocole BIP32 pour générer un grand nombre d'adresses en copropriété. L'organisme d'audit, grâce au fragment de clé privée, peut déterminer l'ensemble des adresses en chaîne de la plateforme et évaluer la taille des actifs à une hauteur de bloc spécifiée.

Ces améliorations devraient renforcer la fiabilité des preuves de réserve, mais nécessitent encore des recherches et des perfectionnements supplémentaires. Avec l'évolution de la technologie, d'autres solutions innovantes pourraient émerger, offrant une protection plus solide pour la sécurité des actifs des utilisateurs.