Uma breve história das auditorias criptográficas

Em 2014, um ex-programador da Bloomberg chamado Changpeng “CZ” Zhao tornou-se diretor de tecnologia da OKCoin, uma startup chinesa de troca de tokens.

Ser o líder de torcida da comunidade OKCoin era uma grande parte do papel. O preço do Bitcoin despencou após o colapso da bolsa Mt. Gox, a hostilidade de Pequim em relação à criptografia se intensificou e os mineradores em todo o mundo fecharam.

OKCoin desempenhou um papel fundamental no renascimento do interesse na criptografia como um token de jogo, adicionando derivativos e apostas, enquanto CZ usou seu perfil de mídia social para aumentar a confiança entre os crentes fervorosos. Ele era frequentemente encontrado no Reddit, como nesta postagem agora excluída, mas arquivada, negando que a OKCoin usasse bots para falsificar o volume. E ele tem participado regularmente de podcasts como este, onde CZ explica (cerca de 25 minutos) que as negociações de lavagem no mercado de ações foram devidas a comerciantes chineses que tentavam ganhar um carro.

CZ deixou a OKCoin em fevereiro de 2015, após apenas oito meses.

A princípio todos pareciam concordar, com CZ dizendo que a saída era “uma diferença de direção”. Depois veio uma postagem no Reddit (excluída, mas arquivada) na qual CZ faz dezenas de acusações contra OKCoin e seu fundador Mingxing “Star” Xu, incluindo o suposto uso de bots para aumentar o volume.

OKCoin respondeu no Reddit para negar o que chamou de “mentiras e bobagens desesperadas” de CZ, acrescentando inúmeras acusações próprias.

É fácil descartar a difamação pública como uma relíquia da era da fronteira da criptografia. O comércio de insultos – que supostamente resultou de uma disputa contratual entre OKCoin e Roger Ver, um dos primeiros evangelistas conhecido como Bitcoin Jesus – foi combatido em uma típica alarde de mensagens usando jargões que muitas vezes podem parecer deliberadamente impenetráveis. No entanto, a batalha sobre a questão da auditoria é relevante hoje.

Em agosto de 2014, alguns meses antes da saída de CZ, a OKCoin divulgou o que descreveu como a “primeira auditoria de prova de reservas” da indústria. O relatório foi escrito por Stefan Thomas, que na época era CTO do Crypto Payments Group Ripple e era bem conhecido da comunidade. Ele concluiu (com inúmeras ressalvas) que seus saldos de Bitcoin pareciam cobrir os fundos dos usuários em mais de 104%.

Chamar isso de auditoria não ajudou. Existem muitos bons explicadores do mecanismo utilizado; A versão muito simples é que Thomas realizou testes de integridade em bancos de dados fornecidos pela OKCoin que listavam seus ativos e passivos Bitcoin. Esses testes geraram um tipo de soma de verificação de ativos conhecida como raiz Merkle, que os depositantes poderiam usar para verificar se seus próprios ativos estavam presentes na rede. Oferecia um mínimo de transparência, como Thomas alertou:

Observe que este tipo de teste tem limitações. Não examina os ativos e passivos fiduciários de uma bolsa ou outros aspectos do seu balanço. Também é difícil provar definitivamente que os Bitcoins em questão são realmente propriedade da bolsa e não, por exemplo, emprestados.

Em entrevista ao CoinTelegraph, CZ rejeitou as críticas à “auditoria” e contestou as sugestões de que a OKCoin pode não ter fornecido a Thomas todos os dados relevantes.

Então a história mudou. A postagem de CZ no Reddit chamou a auditoria de “falsa” e alegou que a OKCoin subestimou as responsabilidades ao ocultar suas próprias contas de bot. “Essencialmente, esses bots negociam reservas fracionárias (ou nocionais)”, disse ele. "Mentiram para Thomas durante a auditoria. Esta é uma limitação infeliz ao método de comprovação de reservas."

Em resposta, a OKCoin afirmou que esconder os bots era para evitar a contagem dupla de moedas emprestadas. CZ “nem entende o que é um exame”, acrescentou ela.

Oito anos depois, CZ quer enfatizar que sabe o que é uma auditoria:

Comprovante verificado de reserva. Transparência. #Binanz https://t.co/IClZxTYaWp

– CZ 🔶 Binance (@cz_binance) 7 de dezembro de 2022

A Binance, agora de longe a maior plataforma de negociação de criptografia do mundo, foi empurrada para a transparência pelo colapso da FTX. Mas o que foi entregue na semana passada não pode ser visto mais como um teste do que os esforços da OKCoin em 2014.

A Binance parecia estar 101% garantida em um nível subjacente em 22 de novembro, de acordo com uma carta da subsidiária sul-africana do grupo de contabilidade Mazars à “Binance Capital Management Co. Ltd” nas Ilhas Virgens Britânicas. O termo auditoria não é usado na carta. Em vez disso, a Mazars afirma que seguiu um procedimento acordado (AUP), o que significa que seus funcionários só poderiam fazer determinações factuais dentro dos parâmetros predefinidos da Binance. A empresa de contabilidade não realizou qualquer investigação adicional, não formou opiniões e não ofereceu garantias – incluindo a validade do exercício como um todo, como a introdução da sua carta de cinco páginas tenta deixar claro:

A administração da Binance reconhece que a AUP é adequada ao propósito e é responsável pelo assunto para o qual a AUP está sendo executada. [ . . . ] Não fazemos nenhuma declaração quanto à adequação da AUP.

Este compromisso da AUP não é uma auditoria empresarial. Dessa forma, não expressamos opinião ou conclusão de auditoria. Se tivéssemos conduzido procedimentos adicionais, poderíamos ter identificado outros assuntos que teriam sido relatados.

Não há informações sobre quais unidades de negócios Nomadic da Binance foram testadas. Abrange apenas ativos e passivos de Bitcoin auto-relatados e exclui operações nos EUA, de acordo com um artigo do Wall Street Journal. Melhorias na metodologia Merkle Tree 2014, tais como: Algumas mudanças, como o uso de transferências fictícias para verificar um número indefinido de carteiras, são, na melhor das hipóteses, incrementais.

E mesmo assim, Binance falhou.

“Descobrimos que a Binance está 97% garantida”, escreve Wiehann Olivier, sócio da Mazars. Marcas de passaporte exigidas “levando em consideração os ativos fora do escopo prometidos pelos clientes como garantia dos ativos dentro do escopo emprestados por meio da margem e da oferta de serviços de crédito, resultando em saldos negativos no relatório de responsabilidade do cliente”. Em outras palavras, o número manchete de 101% foi baseado na exclusão do Bitcoin do lado do passivo, disse Binance, que havia sido emprestado.

Essa é uma desculpa plausível. As garantias detidas para empréstimos Bitcoin seriam mantidas em moedas ou tokens diferentes do Bitcoin e, portanto, estariam fora do escopo do relatório da Mazars. Ainda assim, é difícil depositar muita confiança numa auditoria que gira em torno de parâmetros tão restritossilenciosonão podemos chegar a nenhuma boa resposta a não ser pedir mais fé cega.

A Binance afirma que fornecerá informações sobre outros tokens além do Bitcoin nas próximas semanas – os mais importantes deles são o token nativo do BNB e as stablecoins Binance USD e Tether. Pouco depois da implosão da FTX, a Binance informou que detinha aproximadamente US$ 69 bilhões em moedas em 10 de novembro, e que esses três tokens representavam mais de 70% das reservas em valor. Diagrama abaixo de Mike Alfredo:

O fracasso da FTX desencadeou uma corrida entre as exchanges de criptomoedas para evitar que “nem sua chave, nem suas moedas” se tornasse uma ameaça existencial. O OK Group da Star Zu, que inclui as exchanges OKCoin e OKX, é um dos muitos que promovem prova transparente de reservas por meio de validação de token apoiada por auditores, embora seja baseado na mesma metodologia básica de sua auditoria de 2014.

Mas mesmo em comparação com os dados dos seus concorrentes mais pequenos, os esforços de transparência da Binance não convenceram muitos comentadores. O grupo de pesquisa Mysten Labs (financiado pela Binance) publicou um relatório no mês passado identificando “vulnerabilidades potencialmente exploráveis” que poderiam significar que os passivos estavam sendo subvalorizados.

A coisa mais próxima de um medidor de sentimento público sobre a Binance, seu token BNB, ficou sob pressão na segunda-feira, depois que uma reportagem da Reuters disse que o Departamento de Justiça dos EUA poderia enfrentar acusações de lavagem de dinheiro como parte de uma longa investigação criminal sobre a exchange. A Binance postou uma longa resposta em seu site, e CZ respondeu nas redes sociais em seu estilo característico – com uma crítica ao oponente e um apelo à comunidade.

smh, algumas mídias ainda funcionam para...

– CZ 🔶 Binance (@cz_binance) 12 de dezembro de 2022

Ignore o FUD. Continue construindo!

– CZ 🔶 Binance (@cz_binance) 12 de dezembro de 2022

Mas depois de quase uma década de ruído CZ, parece que a comunidade quer algum material novo: