作者| 秦曉峰
編輯| 郝方舟
出品| Odaily星球日報
隨著FTX 的崩潰,中心化平台特別是CEX 的資產儲備問題備受關注。多個交易平台也陸續公佈了交易所賬戶地址,展示各家儲備金狀況,Odaily星球日報此前曾撰文分析(推薦閱讀《分析七大交易所資產儲備明細,誰暴露了潛在風險?》)。
但是,儲備金只是提高透明度的第一步,並不能真正展示交易所的償付能力,還應該考慮交易所負債情況(即用戶存款量),出具完整的「儲備證明」。對於CEX 而言,「儲備證明」也是安撫人心、讓用戶更好地了解平台如何管理資產的重要一步。
過去幾週,Binance、Crypto.com、Kucoin 等紛紛公佈了由第三方審計機構出具的「儲備證明」。然而隨著Mazars、Armanino 等機構紛紛取消加密審計業務,加密用戶疑竇叢生,CEX 信任度再次引發討論。
本文,我們將探討,為什麼傳統審計機構對加密儲備證明審計避而遠之?在傳統審計缺位的狀態下,CEX 的透明化之路究竟何去何從?基於默爾克樹的儲備證明,能否成為行業自救的有效途徑?
一、審計公司為何放棄加密企業?
儲備證明(PoR)是什麼?它是一種驗證加密平台確實為其代表客戶保管的數字資產提供1: 1 支持的方法。簡單來說,如果加密平台錢包地址中儲備金大於或等於用戶存款,可以證明平台資金充足,能夠進行剛性兌付。
通常,加密平台會尋求第三方具有知名度的審計公司進行審計,出具儲備證明。本月初,Binance、Crypto.com、Kucoin 都聘請了Mazars Group 出具「儲備證明」(注:Mazars Group 是一家全球性的審計、會計和諮詢公司,成立於1945 年,服務全球90 多個國家)。
不過,Mazars Group 的報告也引來了更多的爭議。 《華爾街日報》評論稱,Mazars 的報告實際上是一封五頁的信,而不是一份恰當的審計報告,因為其沒有涉及內部財務報告控制的有效性。最終,面臨多方壓力的Mazars Group 在官網刪除了審計報告,完全停止用於加密貨幣交易所的審計工具Mazars Veritas,並且對外表示將停止與加密貨幣公司的任何工作,不再出具儲備證明報告。
無獨有偶,為FTX 美國站(FTX.US)提供審計的會計事務所Armanino 也計劃結束加密審計業務,停止向加密公司提供財務報表審計和儲備證明報告服務。此外,《華爾街日報》報導稱,會計事務所BDO 也計劃暫停為加密貨幣客戶提供審計服務。目前,四大會計師事務所(德勤、安永、畢馬威和普華永道)均沒有對私人加密貨幣公司提供儲備證明審計服務的計劃。
為什麼審計公司會對加密企業儲備證明業務避而遠之?核心原因有以下幾點:
從審計公司自身來說,加密仍然是一個全新的領域,審計師對於鏈上業務熟悉度不夠,專業能力不過關,只能邊做邊學。 Binance 創始人趙長鵬評論稱,大多數會計師事務所不知道如何審計加密貨幣交易所。加密企業想要在自己熟悉的領域矇騙“小白”審計師,難度並不高。
並且,審計公司在為加密企業服務時,往往只能按照企業特定要求開展工作,自主性不夠;僅僅審計儲備證明,而不涉及內部控制審計以及財務狀況,最終報告的可靠性也要打個折扣。舉個例子,某平台用戶存款8000 BTC,錢包地址中有9000 BTC,但這並不意味著交易所擁有100% 償付能力,因為其中可能有3000 BTC 是該平台從第三方借款獲得,而審計公司並不知情。 (注:審計公司通常只對上市公司內部控制以及財務狀況審計,對於私營公司則不需要,這也是矛盾點所在。)
從實戰結果來看,審計公司還會因為為加密公司審計(站台)惹上官司,聲譽大減,影響非加密業務開展。近期,與FTX 合作的兩家會計事務所Armanino、 Prager Metis CPAs LLC 雙雙被FTX 用戶起訴,被指控共謀敲詐勒索。 《華爾街日報》評論稱,兩家會計事務所都是FTX 的啦啦隊,而不是持懷疑態度的審計師。這些審計公司的其他非加密行業客戶,擔心該事務所的聲譽風險會使他們的審計報告也受到質疑,進而對審計公司施加壓力。
最後,由於FTX 事件,美國證券交易委員會(SEC) 正在加強對審計機構的監管,迫使審計機構放棄加密客戶。一名SEC 高級官員表示,該監管機構正在加強對審計人員為加密貨幣公司所做工作的審查,其擔心投資者可能會從這些公司的報告中獲得虛假的安心感。
二、默克爾樹儲備證明保證透明度
由於第三方審計機構缺位,更多的加密交易平台致力於擁有自己的儲備證明,致力於使用更多加密原生方法來證明資產儲備。
其中,由Binance 主推的默克爾樹(Merkle Tree)儲備金證明備受關注,OKX、Bitget 以及ByBit 也基本採用類似的方式,具體細節因交易所而異。過去幾週,包括OKX 在內的多家平台,均使用該方案進行審計,並在官網進行公示。
(OKX 儲備公示)
基於默爾克樹的儲備證明的原理是怎樣的?
默克爾樹是一種可以將數據壓縮的密碼學技術,通過使用默克爾樹,多個數據可以合併成一個數據,並且將較大規模的數據匯總結果存儲;同時,又可以通過密碼學的手段證明對應的數據被壓縮在了匯總結果當中。默克爾樹的樹葉部分由數據集當中每個數據的哈希值所構成。具體來說,樹葉部分的構造是將兩個相鄰的哈希值連起來,打包到一塊再次哈希化,以產生母哈希值。最後打包到最上層的哈希值被稱為默克爾樹根(Merkle Root)。默克爾樹根的哈希值包含了所有數據的哈希特徵,哪個節點上數據被篡改,都將呈現完全不同的值。
簡單來說,默克爾樹是一種哈希二叉樹,能夠發現任何操縱或數據篡改。如果用戶資產發生改動,則會體現至樹根數據中,將呈現完全不同的值,此機制能確保默爾克樹的數據具有不可篡改性。
舉個例子,交易所對用戶所有交易賬戶資產進行快照匯總為每個用戶的總資產,此時再為每個用戶分配一個唯一且匿名的用戶哈希ID;每個用戶總資產會作為葉節點的信息保存到默克爾樹中,所有用戶的資產會匯總為一個默克爾樹根;只要每個用戶的資產信息被包括在默克爾樹的葉節點內,即可證明他們的資產被包括在總用戶資產內。為了幫助用戶驗證,各家平台也發布了自己的開源驗證工具“Merkle Validator ”,用戶可以將自己的哈希值以及用戶代碼等信息輸入,以驗證自己的資產是否包含在默克爾樹快照中。
當然,基於默爾克樹的儲備證明也存在一些缺陷。
一是儲備證明只是審計時用戶的資產快照,快照結束後的任何資產交易及審計時未被涵蓋的資產將不被包含在此審計結果內,平台完全可以在審計日轉入資金通過默爾克樹審計,並在資產快照後轉出資金。解決方案是,交易平台可以提高審計公示頻率(目前OKX 和Binance 都是每月公佈PoR 報告),從每月一次變成每週一次,甚至未來發展至實時證明。並且,第三方監測機構也可以緊盯交易所公佈的錢包地址,觀察審計日前後是否有大額資金流入流出。
二是與傳統審計一樣,基於默爾克樹的儲備證明同樣難以體現負債關係、關聯交易等公司內部財務狀態,這使得孤立的儲備審計可靠性降低。
三是前端欺詐問題。默克爾樹數據存在交易所自家服務器上,用戶與交易所交互的前端頁面是交易所掌控的,交易所完全可能返回假的頁面來欺騙用戶,存在前端欺詐的可能性;考慮到用戶惰性,用戶通過平台的開源驗證工具進行自我驗證的可能性以及頻次較小。
解決方案是,可以使用第三方PoR 服務增加報告可靠性。比如Chainlink Labs 提供了一套提供開箱即用的解決方案。具體來說,該服務會使用到連接至交易所API 及其保險庫地址的Chainlink 節點;這些節點再連接至儲備證明智能合約,這一智能合約可以被網絡上的任何賬戶查詢,以確定交易所的資產是否等於其負債。
四是儲備證明僅僅覆蓋部分資產,並不能完全體現交易所資金狀況。以幣安為例,其第一期儲備證明僅僅涉及BTC 資產,第二期證明拓展至BTC、ETH、BNB、LTC、USDC、USDT、XRP、BUSD 以及LINK 共計9 種資產。而OKX 以及Bitget 目前的報告,均只涉及BTC、ETH 以及USDT 三種資產情況——Nansen 數據顯示,目前三種資產在OKX、Bitget 儲備中佔比分別為92.63% 以及63.2% ;而Bybit 儲備證明報告涉及BTC、ETH、USDT 以及TRX 四種資產,在其錢包儲備中佔比81.13% ,沒有涉及USDC(6.16% )以及BIT(5.96% )。因此,交易平台下一步需要努力拓展更多的幣種驗證,否則所謂的保持1: 1 的儲備金將淪為一句空話。
三、總結
“儲備金證明既不是對公司資產和負債的全面核算,也不符合證券法規定的客戶資金隔離要求。”美國SEC 主席Gary Gensler 表示,監管機構仍將重點放在加密公司的財務記錄上,“加密公司應該通過遵守久經考驗的託管、客戶資金隔離規則和會計規則來做到這一點。”
雖然SEC 等監管機構並不看好儲備證明,但在第三方審計缺位的當下,基於默爾克樹的儲備證明不失為行業自救的一種有效嘗試。加密市場需要更多公開透明的信息,加密平台正在通過自身努力重建用戶信心。當然,儲備金的鏈上驗證是一個嶄新的領域,仍然有很長一段路要走。
