Mientras disminuye la confianza de los usuarios en las bolsas tras el colapso de FTX, Buterin habla de cómo las CEX pueden demostrar criptográficamente su solvencia.
El colapso de FTX ha erosionado gravemente la confianza de los usuarios en las criptobolsas centralizadas. La mayoría de los inversores se han dado cuenta por fin de la importancia de poseer las claves de sus activos digitales y han trasladado volúmenes récord de tokens de las bolsas a carteras no custodiadas.
Estos acontecimientos han provocado una oleada de urgencia para que las bolsas centralizadas proporcionen pruebas fiables de que poseen más activos que pasivos. En un artículo publicado en su blog el 19 de noviembre, Vitalik Buterin, cofundador de Ethereum, analizó los métodos criptográficos utilizados hasta la fecha por las bolsas para ser fiables, así como sus limitaciones.
También sugirió nuevas técnicas para que las bolsas centralizadas logren la ausencia de confianza, como el argumento sucinto no interactivo de conocimiento cero (ZK-SNARK) y otras tecnologías avanzadas.
Binance, Coinbase y Kraken, junto con el socio general de a16z y ex CTO de Coinbase Balaji Srinivasan, contribuyeron al post.
Probación de la solvencia mediante listas de saldos y árboles de Merkle
En 2011, Mt. Gox fue uno de los primeros intercambios en proporcionar una prueba de solvencia mediante la transferencia de 424.242 BTC desde una cartera fría a una dirección preanunciada de Mt. Gox. Más tarde se reveló que la transacción podría haber sido engañosa, ya que los activos transferidos podrían no haberse movido desde un monedero frío.
En 2013, se empezó a debatir cómo podrían demostrar las bolsas el volumen total de los depósitos de sus usuarios. La idea era que si las bolsas demostraban sus depósitos totales de usuarios, es decir, sus pasivos totales, junto con su propiedad de una cantidad equivalente de activos, es decir, la prueba de activos, entonces se demostraría su solvencia.
En otras palabras, si las bolsas pudieran demostrar que poseen activos por un importe igual o superior al de los depósitos de sus usuarios, demostrarían su capacidad para reembolsar a todos los usuarios en caso de que soliciten la retirada de fondos.
La forma más sencilla de demostrar los depósitos totales de los usuarios era publicar una lista de nombres de usuario con los saldos de sus cuentas. Sin embargo, esto violaba la privacidad de los usuarios, incluso si las bolsas sólo publicaban una lista de hash y saldos. Por ello, se introdujo la técnica del árbol de Merkle, que permite verificar grandes conjuntos de datos.
En la técnica del árbol de Merkle, la tabla de saldos de usuarios se inserta en un árbol de suma de Merkle, en el que cada nodo, u hoja, es un par de saldo y hash. La capa inferior de nodos contiene los saldos individuales de los usuarios y los hashes con sal de los nombres de usuario. A medida que se asciende por el árbol, cada nodo representa la suma de los saldos de los dos nodos que tiene debajo y la suma de los hashes de los dos nodos que tiene debajo.
Ejemplo de árbol de suma de Merkle. Fuente: Vitalik Buterin
Aunque la fuga de privacidad es limitada en los árboles de Merkle en comparación con las listas públicas de nombres y saldos, no es completamente inmune, escribió Buterin. Los piratas informáticos que controlan un gran número de cuentas en una bolsa pueden obtener un conocimiento significativo sobre los usuarios de la bolsa, añadió.
Buterin también señaló:
«… la técnica del árbol de Merkle es tan buena como puede serlo un esquema de prueba de responsabilidades, si el único objetivo es conseguir la prueba de responsabilidades. Pero sus propiedades de privacidad siguen sin ser ideales.
Se puede ir un poco más allá utilizando árboles de Merkle de formas más inteligentes, como hacer que cada satoshi o wei sea una hoja separada, pero en última instancia con tecnología más moderna hay formas aún mejores de hacerlo. «
El uso de ZK-SNARKs
Las bolsas pueden colocar todos los saldos de los usuarios en un árbol de Merkle o en un compromiso KZG y utilizar un ZK-SNARK para demostrar que todos los saldos son no negativos y suman el valor total del depósito reclamado por la bolsa. Añadiendo una capa de hashing para mejorar la privacidad se garantizaría que ningún usuario del intercambio pueda saber nada sobre los saldos de otros usuarios.
Buterin escribió:
«En un futuro a largo plazo, este tipo de prueba de responsabilidad ZK podría utilizarse no sólo para los depósitos de los clientes en las bolsas, sino también para los préstamos en general. «
En otras palabras, los prestatarios podrían proporcionar pruebas ZK a los prestamistas asegurándoles que los prestatarios no tienen demasiados préstamos abiertos.
Utilización de pruebas de activos
La versión más sencilla de demostrar que las bolsas poseen activos fue el método desplegado por Mt. Gox. Las bolsas simplemente mueven sus activos en un momento acordado previamente o en una transacción en la que el campo de datos indica a qué bolsa pertenecen los activos. Las bolsas también podían evitar la tasa de gas firmando un mensaje fuera de la cadena.
Sin embargo, esta técnica tiene dos grandes problemas: el almacenamiento en frío y el doble uso de las garantías. La mayoría de las bolsas guardan la mayoría de sus activos en cámaras frigoríficas para mantenerlos seguros, lo que significa que «hacer incluso un solo mensaje extra para demostrar el control de una dirección es una operación cara». escribió Buterin.
Para hacer frente a los problemas, Buterin señaló que los intercambios podrían utilizar unas pocas direcciones públicas a largo plazo. Los intercambios podrían generar unas pocas direcciones, demostrar su propiedad una vez y utilizar las mismas direcciones repetidamente. Sin embargo, esto plantea problemas de privacidad y seguridad.
Alternativamente, las bolsas podrían tener muchas direcciones y demostrar su propiedad de unas pocas direcciones seleccionadas al azar. Por otra parte, las bolsas también podrían utilizar ZK-proofs para garantizar la preservación de la privacidad y proporcionar el balance total de todas las direcciones de la cadena, dijo Buterin.
La segunda cuestión es garantizar que las bolsas no barajen garantías para fingir solvencia. Buterin dijo:
Lo ideal sería que la prueba de solvencia se realizara en tiempo real, con una prueba que se actualizara después de cada bloque. Si esto no es práctico, lo mejor sería coordinar un calendario fijo entre las distintas bolsas, por ejemplo, probar las reservas a las 14:00 UTC todos los martes».
El último problema es proporcionar pruebas de activos para las monedas fiduciarias. Las criptobolsas tienen tanto activos digitales como monedas fiduciarias. Según Buterin, dado que los saldos de las monedas fiduciarias no son verificables criptográficamente, proporcionar una prueba de activos requiere depender de «modelos fiduciarios fiduciarios». Por ejemplo, los bancos que custodian fiat para los intercambios pueden dar fe de los saldos disponibles y los auditores pueden dar fe de los balances.
Alternativamente, las bolsas podrían crear dos entidades separadas: una que se ocupe de las stablecoins respaldadas por activos y otra que se ocupe de la transición entre fiat y cripto. Buterin señaló:
«Dado que los «pasivos» de USDC son sólo tokens ERC20 en cadena, la prueba de los pasivos es «gratuita» y sólo se requiere la prueba de los activos. «
El uso de Plasma y validiums
Para evitar por completo que las bolsas roben o hagan un mal uso de los fondos de los clientes, las bolsas podrían utilizar Plasma. Una solución de escalado que se hizo popular en los círculos de investigación de Ethereum en 2017-2018, Plasma divide el saldo en diferentes tokens, donde a cada token se le asigna un índice y tiene una posición particular en el árbol de Merkle de un bloque Plasma.
Sin embargo, desde la llegada de Plasma, ZK-SNARKs ha surgido como una solución «más viable», señaló Buterin. La versión moderna de Plasma es un validium, que es lo mismo que los ZK-rollups pero los datos se almacenan fuera de la cadena. Sin embargo, Buterin advirtió:
«En un validium, el operador no tiene forma de robar fondos, aunque dependiendo de los detalles de la implementación alguna cantidad de fondos de los usuarios podría quedarse atascada si el operador desaparece. «
Los inconvenientes de la descentralización total
El problema más común de los intercambios totalmente descentralizados es que los usuarios podrían perder el acceso a sus cuentas si son pirateados, olvidan su contraseña o pierden sus dispositivos. Las bolsas pueden resolver este problema mediante la recuperación del correo electrónico y otras formas avanzadas de recuperación de cuentas a través de los datos de «conozca a su cliente». Pero esto requeriría que la bolsa tuviera control sobre los fondos del usuario.
Buterin escribió:
«Para tener la capacidad de recuperar los fondos de las cuentas de los usuarios por buenas razones, las bolsas necesitan tener un poder que también podría utilizarse para robar los fondos de las cuentas de los usuarios por malas razones. Es un compromiso inevitable».
La «solución ideal a largo plazo», según Buterin, es confiar en la autocustodia con monederos multisig y de recuperación social. A corto plazo, sin embargo, los usuarios deben elegir entre intercambios centralizados y descentralizados en función de la compensación con la que se sientan cómodos.
Opción   Riesgo de cambio Riesgo del lado del usuario
Intercambio de custodia (por ejemplo, Coinbase hoy) Los fondos del usuario pueden perderse si hay un problema en el lado del intercambio El intercambio puede ayudar a recuperar la cuenta
Intercambio sin custodia (eg. Uniswap hoy) Los usuarios pueden retirar incluso si el intercambio actúa maliciosamente Los fondos del usuario pueden perderse si el usuario mete la pata
Conclusiones: el futuro de mejores intercambios
A corto plazo, los inversores tienen que elegir entre bolsas con custodia y bolsas sin custodia o descentralizadas como Uniswap. Sin embargo, en el futuro, pueden evolucionar algunos intercambios centralizados, que estarán limitados criptográficamente para que el intercambio no pueda robar los fondos de los usuarios, manteniendo los saldos en un contrato inteligente validium, dijo Buterin.
El futuro también puede traer intercambios semicustodiados en los que los usuarios confíen en el intercambio con fiat pero no con criptomonedas, añadió.
Aunque ambos tipos de intercambios seguirán coexistiendo, la forma más sencilla de mejorar la seguridad de los intercambios de custodia es añadir la prueba de reservas, señaló Buterin. Esto incluiría una combinación de prueba de activos y prueba de pasivos.
En el futuro, Buterin espera que todas las bolsas evolucionen hasta convertirse en no custodiales, «al menos en el lado de las criptomonedas». Existirían opciones centralizadas de recuperación de monederos, «pero esto puede hacerse en la capa de monederos en lugar de dentro de la propia bolsa», dijo.
En cuanto al dinero fiduciario, las bolsas podrían implantar los procesos de entrada y salida de efectivo propios de las stablecoins respaldadas por dinero fiduciario, como USDT y USDC. Pero «aún tardaremos un tiempo en conseguirlo», advirtió Buterin.
