Alors que la confiance des utilisateurs dans les échanges diminue suite à l’effondrement de FTX, Vitalik Buterin explique comment les CEX peuvent prouver leur solvabilité de manière cryptographique.
L’effondrement de FTX a sévèrement érodé la confiance des utilisateurs dans les échanges cryptographiques centralisés. La plupart des investisseurs ont finalement compris l’importance de posséder les clés de leurs actifs numériques et ont déplacé des volumes records de jetons des échanges vers des portefeuilles non dépositaires.
Ces événements ont provoqué une vague d’urgence pour que les échanges centralisés fournissent une preuve fiable qu’ils détiennent plus d’actifs que de passifs. Dans un billet de blog publié le 19 novembre, le cofondateur d’Ethereum, Vitalik Buterin, a analysé les méthodes cryptographiques déployées jusqu’à présent par les bourses pour devenir non fiables, y compris les limites de ces méthodes.
Il a également suggéré de nouvelles techniques pour les échanges centralisés afin de parvenir à l’absence de confiance, en utilisant des arguments succincts non interactifs de connaissance zéro (ZK-SNARK) et d’autres technologies avancées.
Binance, Coinbase et Kraken, ainsi que l’associé général de a16z et l’ancien directeur technique de Coinbase, Balaji Srinivasan, ont contribué à l’article.
Provoquer la solvabilité par le biais de listes d’équilibre et d’arbres de Merkle
En 2011, Mt. Gox a été l’une des premières bourses à fournir une preuve de solvabilité en transférant 424 242 BTC d’un portefeuille froid à une adresse Mt. Gox annoncée à l’avance. Il a été révélé plus tard que la transaction pouvait être trompeuse puisque les actifs transférés pouvaient ne pas avoir été déplacés d’un portefeuille froid.
En 2013, des discussions ont commencé sur la façon dont les bourses pourraient prouver la taille totale des dépôts de leurs utilisateurs. L’idée était que si les bourses prouvaient le total des dépôts de leurs utilisateurs, c’est-à-dire leur passif total, ainsi que leur propriété d’un montant équivalent d’actifs, c’est-à-dire la preuve d’actifs, alors cela prouverait leur solvabilité.
En d’autres termes, si les bourses pouvaient prouver qu’elles détiennent des actifs égaux ou supérieurs aux dépôts des utilisateurs, elles prouveraient leur capacité à rembourser tous les utilisateurs en cas de demande de retrait.
Le moyen le plus simple pour les bourses de prouver le total des dépôts des utilisateurs était de publier simplement une liste des noms d’utilisateurs avec le solde de leurs comptes. Cependant, cela violait la vie privée des utilisateurs, même si les bourses ne publiaient qu’une liste de hashs et de soldes. C’est pourquoi la technique de l’arbre de Merkle, qui permet la vérification de grands ensembles de données, a été introduite.
Dans la technique de l’arbre de Merkle, le tableau des soldes des utilisateurs est inséré dans un arbre à somme de Merkle, dans lequel chaque nœud, ou feuille, est une paire solde et hachage. La couche de nœuds la plus basse contient les soldes des utilisateurs individuels et les hachages de noms d’utilisateur salés. En montant dans l’arbre, chaque nœud représente la somme des soldes des deux nœuds inférieurs et la somme des hachages des deux nœuds inférieurs.
Exemple d’arbre de somme de Merkle. Source : Vitalik Buterin
Bien que la fuite de la vie privée soit limitée dans les arbres de Merkle par rapport aux listes publiques de noms et de soldes, elle n’est pas complètement immunisée, a écrit Buterin. Les pirates qui contrôlent un grand nombre de comptes dans un échange peuvent potentiellement acquérir des connaissances importantes sur les utilisateurs de l’échange, a-t-il ajouté.
Buterin a également noté:
« … la technique de l’arbre de Merkle est aussi bonne que peut l’être un schéma de preuve de responsabilité, si l’objectif est d’obtenir une preuve de responsabilité. Mais ses propriétés de confidentialité ne sont toujours pas idéales.
Vous pouvez aller un peu plus loin en utilisant les arbres de Merkle de manière plus intelligente, comme faire de chaque satoshi ou wei une feuille séparée, mais en fin de compte, avec une technologie plus moderne, il y a encore de meilleures façons de le faire. «
L’utilisation des ZK-SNARKs
Les échanges peuvent placer tous les soldes des utilisateurs dans un arbre de Merkle ou un engagement KZG et utiliser un ZK-SNARK pour prouver que tous les soldes sont non négatifs et s’ajoutent à la valeur totale du dépôt revendiquée par l’échange. L’ajout d’une couche de hachage pour améliorer la confidentialité garantirait qu’aucun utilisateur de la bourse ne puisse apprendre quoi que ce soit sur les soldes des autres utilisateurs.
Buterin a écrit:
« À plus long terme, ce type de preuve de passif ZK pourrait peut-être être utilisé non seulement pour les dépôts des clients dans les bourses, mais aussi pour les prêts de manière plus générale. «
En d’autres termes, les emprunteurs pourraient fournir des preuves ZK aux prêteurs en leur garantissant que les emprunteurs n’ont pas trop de prêts ouverts.
Utilisation de la preuve d’actifs
La version la plus simple pour prouver que les échanges possèdent des actifs est la méthode déployée par Mt. Gox. Les bourses transfèrent simplement leurs actifs à un moment convenu à l’avance ou dans le cadre d’une transaction où le champ de données indique quelle bourse est propriétaire des actifs. Les bourses pouvaient également éviter les frais de gaz en signant un message hors chaîne.
Cependant, cette technique présente deux problèmes majeurs : le stockage à froid et le double usage des garanties. La plupart des bourses conservent la majorité de leurs actifs dans des entrepôts frigorifiques afin d’en assurer la sécurité, ce qui signifie que « l’envoi d’un seul message supplémentaire pour prouver le contrôle d’une adresse est une opération coûteuse ». écrit Buterin.
Pour faire face à ces problèmes, Buterin a noté que les échanges pourraient utiliser quelques adresses publiques à long terme. Les échanges pourraient générer quelques adresses, prouver leur propriété une fois, et utiliser les mêmes adresses à plusieurs reprises. Cependant, cela présente des difficultés pour préserver la confidentialité et la sécurité.
Par ailleurs, les bourses pourraient disposer de nombreuses adresses et prouver qu’elles sont propriétaires de quelques adresses choisies au hasard. En outre, les échanges pourraient également utiliser des preuves ZK pour assurer la préservation de la vie privée et fournir le solde total de toutes les adresses sur la chaîne, a déclaré Buterin.
La deuxième question est de s’assurer que les échanges ne mélangent pas les garanties pour simuler la solvabilité. Buterin a déclaré :
« Idéalement, la preuve de solvabilité serait faite en temps réel, avec une preuve qui se met à jour après chaque bloc. Si cela n’est pas possible, la meilleure solution suivante serait de coordonner un calendrier fixe entre les différentes bourses, par exemple, prouver les réserves à 1400 UTC chaque mardi »
Le dernier problème est de fournir une preuve d’actifs pour les monnaies fiduciaires. Les bourses de crypto-monnaies détiennent à la fois des actifs numériques et des monnaies fiduciaires. Selon Buterin, étant donné que les soldes des monnaies fiduciaires ne sont pas vérifiables par cryptographie, fournir une preuve d’actifs nécessite de dépendre de « modèles de confiance fiduciaires ». Par exemple, les banques qui détiennent des fiats pour les échanges peuvent attester des soldes disponibles et les auditeurs peuvent attester des bilans.
Alternativement, les échanges pourraient créer deux entités distinctes – l’une qui s’occupe des monnaies stables adossées à des actifs et l’autre qui s’occupe de faire le pont entre la monnaie fiduciaire et la crypto. Buterin a noté:
« Parce que le « passif » de l’USDC n’est constitué que de jetons ERC20 sur la chaîne, la preuve du passif est « gratuite » et seule la preuve de l’actif est requise. «
L’utilisation de Plasma et de Validiums
Pour empêcher totalement les bourses de voler ou d’utiliser à mauvais escient les fonds des clients, les bourses pourraient utiliser Plasma. Une solution de mise à l’échelle qui est devenue populaire dans les cercles de recherche Ethereum en 2017-2018, Plasma divise le solde en différents jetons, où chaque jeton se voit attribuer un indice et a une position particulière dans l’arbre de Merkle d’un bloc Plasma.
Cependant, depuis l’avènement de Plasma, ZK-SNARKs est apparu comme une solution « plus viable », a noté Buterin. La version moderne de Plasma est un validium, qui est identique aux ZK-rollups mais les données sont stockées hors chaîne. Cependant, Buterin a prévenu :
« Dans un validium, l’opérateur n’a aucun moyen de voler des fonds, bien que, selon les détails de la mise en œuvre, une certaine quantité de fonds d’utilisateur pourrait être bloquée si l’opérateur disparaît. «
Les inconvénients d’une décentralisation complète
Le problème le plus courant avec les bourses entièrement décentralisées est que les utilisateurs pourraient perdre l’accès à leurs comptes s’ils sont piratés, oublient leur mot de passe ou perdent leurs appareils. Les bourses peuvent résoudre ce problème en récupérant les courriels et d’autres formes avancées de récupération des comptes grâce à la connaissance des détails du client. Mais il faudrait pour cela que la bourse ait le contrôle des fonds de l’utilisateur.
Buterin a écrit :
« Afin d’avoir la capacité de récupérer les fonds des comptes utilisateurs pour de bonnes raisons, les bourses doivent avoir un pouvoir qui pourrait également être utilisé pour voler les fonds des comptes utilisateurs pour de mauvaises raisons. C’est un compromis inévitable. »
La « solution idéale à long terme », selon M. Buterin, consiste à s’appuyer sur l’autodéfense avec des portefeuilles multi-sig et à récupération sociale. À court terme, cependant, les utilisateurs doivent choisir entre les échanges centralisés et décentralisés en fonction du compromis qui leur convient.
  ; risque lié à l’utilisateur
Bourse de dépôt (ex. Coinbase aujourd’hui)Les fonds de l’utilisateur peuvent être perdus en cas de problème du côté de la bourseLa bourse peut aider à récupérer le compte.
Échange sans garde (ex. Uniswap aujourd’hui)Les utilisateurs peuvent se retirer même si la bourse agit de manière malveillante  ; Les fonds de l’utilisateur peuvent être perdus si l’utilisateur fait une erreur
Conclusions : l’avenir de meilleurs échanges
À court terme, les investisseurs doivent choisir entre les bourses de dépôt et les bourses non dépositaires ou les bourses décentralisées comme Uniswap. Cependant, à l’avenir, certains échanges centralisés pourraient évoluer, avec des contraintes cryptographiques afin que l’échange ne puisse pas voler les fonds des utilisateurs, en détenant les soldes dans un contrat intelligent validium, a déclaré Buterin.
L’avenir pourrait également voir l’apparition d’échanges semi-centralisés, dans lesquels les utilisateurs confient à l’échange des fiats mais pas des crypto-monnaies, a-t-il ajouté.
Les deux types d’échanges continueront à coexister, mais le moyen le plus simple de renforcer la sécurité des échanges de type « custodial » est d’ajouter la preuve des réserves, a noté M. Buterin. Il s’agirait d’une combinaison de preuve d’actifs et de preuve de passifs.
À l’avenir, M. Buterin espère que toutes les bourses évolueront pour devenir non dépositaires, « au moins du côté des crypto-monnaies ». Des options centralisées de récupération des portefeuilles existeraient, « mais cela peut être fait au niveau du portefeuille plutôt qu’au sein de la bourse elle-même », a-t-il déclaré.
Du côté des devises, les bourses pourraient déployer les processus d’encaissement et de décaissement propres aux monnaies stables adossées à des devises comme USDT et USDC. Mais « il faudra encore un certain temps avant d’en arriver là », a averti M. Buterin.
