從依賴法律的第三方審計轉向基於加密技術的自主審計。本文作者秦曉峰,Odaily 星球日報。
(前情提要:11大會計所 Mazars暫停幣安等加密儲備審計!CZ改口:鏈上紀錄更可靠)
(事件背景:PoR沒用?SEC主席質疑「交易所 儲備金證明」)
隨著 FTX 的崩潰,中心化平台特別是 CEX 的資產儲備問題備受關注。多個交易平台也陸續公佈了交易所帳戶地址,展示各家儲備金狀況。但是,儲備金只是提高透明度的第一步,並不能真正展示交易所的償付能力,還應該考慮交易所負債情況(即用戶存款量),出具完整的「儲備證明」。
對於 CEX 而言,「儲備證明」也是安撫人心、讓用戶更好地了解平台如何管理資產的重要一步。
過去幾週,Binance、Crypto.com、Kucoin 等紛紛公佈了由第三方審計機構出具的「儲備證明」。然而隨著 Mazars、Armanino 等機構紛紛取消加密審計業務,加密用戶疑竇叢生,CEX 信任度再次引發討論。
本文,我們將探討,為什麼傳統審計機構對加密儲備證明審計避而遠之?在傳統審計缺位的狀態下,CEX 的透明化之路究竟何去何從?基於默爾克樹的儲備證明,能否成為產業自救的有效途徑?
一、審計公司為何放棄加密企業?
儲備證明(PoR)是什麼?它是一種驗證加密平台確實為其代表客戶保管的數位資產提供 1: 1 支援的方法。簡單來說,如果加密平台錢包地址中儲備金大於或等於用戶存款,可以證明平台資金充足,能夠進行剛性兌付。
通常,加密平台會尋求第三方具有知名度的審計公司進行審計,出具儲備證明。本月初,Binance、Crypto.com、Kucoin 都聘請了 Mazars Group 出具「儲備證明」(注:Mazars Group 是一家全球性的審計、會計和諮詢公司,成立於 1945 年,服務全球 90 多個國家)。
不過,Mazars Group 的報告也引來了更多的爭議。《華爾街日報》註解稱,Mazars 的報告實際上是一封五頁的信,而不是一份恰當的審計報告,因為其沒有涉及內部財務報告控制的有效性。最終,面臨多方壓力的 Mazars Group 在官網刪除了審計報告,完全停止用於加密貨幣交易所的審計工具 Mazars Veritas,並且對外表示將停止與加密貨幣公司的任何工作,不再出具儲備證明報告。
無獨有偶,為 FTX 美國站(FTX.US)提供審計的會計事務所 Armanino 也計劃結束加密審計業務,停止向加密公司提供財務報表審計和儲備證明報告服務。此外,《華爾街日報》報導稱,會計事務所 BDO 也計劃暫停為加密貨幣客戶提供審計服務。目前,四大會計師事務所(德勤、安永、畢馬威和普華永道)均沒有對私人加密貨幣公司提供儲備證明審計服務的計劃。
為什麼審計公司會對加密企業儲備證明業務避而遠之?核心原因有以下幾點:
從審計公司自身來說,加密貨幣仍然是一個全新的領域,審計師對於鏈上業務熟悉度不夠,專業能力不過關,只能邊做邊學。Binance 創辦人趙長鵬註解稱,大多數會計師事務所不知道如何審計加密貨幣交易所。加密企業想要在自己熟悉的領域矇騙 「小白」審計師,難度並不高。
延伸閱讀:剛嚇走Mazars!‘’大賣空‘’麥克貝瑞:對交易所儲備證明的「審計」毫無意義
並且,審計公司在為加密企業服務時,往往只能按照企業特定要求開展工作,自主性不夠;僅僅審計儲備證明,而不涉及內部控制審計以及財務狀況,最終報告的可靠性也要打個折扣。舉個範例,某平台用戶存款 8000 BTC,錢包地址中有 9000 BTC,但這並不意味著交易所擁有 100% 償付能力,因為其中可能有 3000 BTC 是該平台從第三方借款獲得,而審計公司並不知情。(注:審計公司通常只對上市公司內部控制以及財務狀況審計,對於私營公司則不需要,這也是矛盾點所在。)
從實戰結果來看,審計公司還會因為為加密公司審計(站台)惹上官司,聲譽大減,影響非加密業務開展。近期,與 FTX 合作的兩家會計事務所 Armanino、 Prager Metis CPAs LLC 雙雙被 FTX 用戶起訴,被指控共謀敲詐勒索。《華爾街日報》註解稱,兩家會計事務所都是 FTX 的啦啦隊,而不是持懷疑態度的審計師。這些審計公司的其他非加密產業客戶,擔心該事務所的聲譽風險會使他們的審計報告也受到質疑,進而對審計公司施加壓力。
延伸:火燒FTX會計事務所!Prager Metis、Armanino面臨訴訟,遭控與SBF共謀詐欺
最後,由於 FTX 事件,美國證券交易委員會 ( SEC ) 正在加強對審計機構的監管,迫使審計機構放棄加密客戶。一名 SEC 高級官員表示,該監管機構正在加強對審計人員為加密貨幣公司所做工作的審查,其擔心投資者可能會從這些公司的報告中獲得虛假的安心感。
二、默克爾樹儲備證明保證透明度
由於第三方審計機構缺位,更多的加密交易平台致力於擁有自己的儲備證明,使用更多加密原生方法來證明資產儲備。
其中,由 Binance 主推的默克爾樹(Merkle Tree)儲備金證明備受關注,OKX、Bitget 以及 ByBit 也基本採用類似的方式,具體細節因交易所而異。過去幾週,包括 OKX 在內的多家平台,均使用該方案進行審計,並在官網進行公示。
基於默爾克樹的儲備證明的原理是怎樣的?
默克爾樹是一種可以將數據壓縮的密碼學技術,透過使用默克爾樹,多個數據可以合併成一個數據,並且將較大規模的數據匯總結果存儲;同時,又可以透過密碼學的手段證明對應的數據被壓縮在了匯總結果當中。默克爾樹的樹葉部分由數據集當中每個數據的哈希值所構成。具體來說,樹葉部分的建構是將兩個相鄰的哈希值連起來,打包到一塊再次哈希化,以產生母哈希值。最後打包到最上層的哈希值被稱為默克爾樹根(Merkle Root)。默克爾樹根的哈希值包含了所有數據的哈希特徵,哪個節點上數據被篡改,都將呈現完全不同的值。
簡單來說,默克爾樹是一種哈希二叉樹,能夠發現任何操縱或數據篡改。如果用戶資產發生改動,則會體現至樹根數據中,將呈現完全不同的值,此機制能確保默爾克樹的數據具有不可篡改性。
舉個範例,交易所對用戶所有交易帳戶資產進行快照匯總為每個用戶的總資產,此時再為每個用戶分配一個唯一且匿名的用戶哈希 ID;每個用戶總資產會作為葉節點的資訊保存到默克爾樹中,所有用戶的資產會匯總為一個默克爾樹根;只要每個用戶的資產資訊被包括在默克爾樹的葉節點內,即可證明他們的資產被包括在總用戶資產內。為了幫助用戶驗證,各家平台也發布了自己的開源驗證工具 「Merkle Validator」,用戶可以將自己的哈希值以及用戶代碼等資訊輸入,以驗證自己的資產是否包含在默克爾樹快照中。
延伸閱讀:一文整理》各大CEX資產儲備、PoR 證明進度;科普默克爾樹是什麼,真能保障用戶安全?
當然,基於默爾克樹的儲備證明也存在一些缺陷。
一是儲備證明只是審計時用戶的資產快照,快照結束後的任何資產交易及審計時未被涵蓋的資產將不被包含在此審計結果內,平台完全可以在審計日轉入資金透過默爾克樹審計,並在資產快照後轉出資金。解決方案是,交易平台可以提高審計公示頻率(目前 OKX 和 Binance 都是每月公佈 PoR 報告),從每月一次變成每週一次,甚至未來發展至實時證明。並且,第三方監測機構也可以緊盯交易所公佈的錢包地址,觀察審計日前後是否有大額資金流入流出。
二是與傳統審計一樣,基於默爾克樹的儲備證明同樣難以體現負債關係、關聯交易等公司內部財務狀態,這使得孤立的儲備審計可靠性降低。
三是前端詐欺問題。默克爾樹數據存在交易所自家伺服器上,用戶與交易所交互的前端頁面是交易所掌控的,交易所完全可能回傳假的頁面來欺騙用戶,存在前端詐欺的可能性;考慮到用戶惰性,用戶透過平台的開源驗證工具進行自我驗證的可能性以及頻次較小。
解決方案是,可以使用第三方 PoR 服務增加報告可靠性。比如 Chainlink Labs 提供了一套提供開箱即用的解決方案。具體來說,該服務會使用到連接至交易所 API 及其保險庫地址的 Chainlink 節點;這些節點再連接至儲備證明智能合約,這一智能合約可以被網路上的任何帳戶查詢,以確定交易所的資產是否等於其負債。
四是儲備證明僅僅覆蓋部分資產,並不能完全體現交易所資金狀況。以幣安為例,其第一期儲備證明僅僅涉及 BTC 資產,第二期證明拓展至 BTC、ETH、BNB、LTC、USDC、USDT、XRP、BUSD 以及 LINK 共計 9 種資產。而 OKX 以及 Bitget 目前的報告,均只涉及 BTC、ETH 以及 USDT 三種資產情況 —— Nansen 數據顯示,目前三種資產在 OKX、Bitget 儲備中佔比分別為 92.63% 以及 63.2% ;而 Bybit 儲備證明報告涉及 BTC、ETH、USDT 以及 TRX 四種資產,在其錢包儲備中佔比 81.13% ,沒有涉及 USDC(6.16% )以及 BIT(5.96% )。因此,交易平台下一步需要努力拓展更多的幣種驗證,否則所謂的保持 1: 1 的儲備金將淪為一句空話。
三、總結
「儲備金證明既不是對公司資產和負債的全面核算,也不符合證券法規定的客戶資金隔離要求。」美國 SEC 主席 Gary Gensler 表示,監管機構仍將重點放在加密公司的財務記錄上,「加密公司應該透過遵守久經考驗的託管、客戶資金隔離規則和會計規則來做到這一點。」
雖然 SEC 等監管機構並不看好儲備證明,但在第三方審計缺位的當下,基於默爾克樹的儲備證明不失為產業自救的一種有效嘗試。加密市場需要更多公開透明的資訊,加密平台正在透過自身努力重建用戶信心。當然,儲備金的鏈上驗證是一個嶄新的領域,仍然有很長一段路要走。
📍相關報導📍
V神提出「安全的CEX : 償付能力證明」: 盼交易所變「非託管」防止挪用客戶資金
CryptoQuant:Huobi 儲備金風險很高,扣除平台幣僅剩 56.57%
警訊!WSJ:幣安的財務狀況「依舊成謎」!會計師質疑儲備報告(PoR) 嚴謹性