راهکارهای رسیدن به امنیت و اعتماد در صرافیهای ارز دیجیتال
با توجهبه ماهیت رو بهرشد صنعت رمزارزها، لحظهبهلحظه، صرافیهای آنلاین تخصصی و معاملهگران تازهای پا به عرصه میگذارند. این موضوع، موجب بروز و ظهور مشکلات و مسایل متعددی میشود. با این حال، دسته بزرگی از مشکلات بهطور مستقیم زمانی پدیدار میشوند که هزینههای عملیاتی از وجوه کاربران تامین شده، یا این گمان در کاربران و معاملهگران تقویت میشود. این تصور غلط یا مشکلات را میتوان با راهکارهایی اصلاح و علاج کرد که از میان آنها میتوان به اثبات ذخیره، روندهای حضانت و نگهداری و حسابرسی اشاره کرد. به زبان ساده، یک صرافی با داشتن داراییهای کافی و ارایه گزارش و روشهای کنترلی میتواند اثبات کند که دارایی کاربران حفظ میشود. این موضوع موجب میشود سطوح بالاتری از اطمینان بهدست آید و همچنین از مواردی اجتناب خواهد شد که لازم باشد از برداشت کاربران محدود شود (که اغلب از کسری وجوه ناشی میشود). این راهکارها زمانی بیش از پیش در کانون توجه قرار گرفت که صرافی افتیایکس (FTX) دچار مشکلات و فروپاشی شد. در این مقاله قصد داریم درباره این سه راهکار سخن بگوییم.
عناوین این مقاله:
اثبات ذخیره (PoR-Proof of Reserves) چیست؟
اثبات ذخیره سازکار رمزنگاری است که از سوی صرافیهای متمرکز بهکار گرفته میشود تا نشان دهد آنها برای صد درصد سرمایههای مشتریان پشتوانه و ذخیره کافی دارند. این سازکار به کاربران و مشتریان اطمینان میدهد بهازای وجوهی که نزد صرافیها دارند، پشتیبانی لازم وجود دارد یا دستکم صرافیها میتوانند بر پایه این ذخیره (چه بهصورت فیزیکی و چه غیرفیزیکی) تمام درخواستهای برداشت کاربران را پاسخ دهند.
در اصل، اثبات ذخیره شامل مقایسه کل بدهیهای صرافی با کل ذخایر نزد آن (یعنی داراییهای نگهداریشده از سوی صرافی) است. هدف این است که اطمینان حاصل شود داراییها با بدهیها مطابقت دارد یا از آن فراتر میرود، بنابراین امکان پرداخت بدهیها همواره وجود دارد و ترس و نگرانی از نکول، ورشکستگی و/یا سومدیریت نزد کاربران کاهش مییابد.
اجزای اثبات ذخیره
فرآیند اثبات ذخیره بهطور معمول شامل چند مولفه است که با یکدیگر کار میکنند تا شفافیت را بدون به خطر انداختن حریم خصوصی یا امنیت کاربر ارایه دهند. این اجزا عبارتاست از:
یکم. درخت مرکل (Merkle Tree)
ساختارهای رمزنگاری مانند درختان مرکل اغلب در فضای مبادلات مورد استفاده قرار میگیرند تا کاربران بتوانند بالانس مالی خود را بدون دسترسی به دادههای سایر کاربران بررسی کنند. این ساختار شاخهشاخه و درختیمانند سطوح بدهیها و داراییها را نمایش میدهد تا در هر لحظه هرکس بداند میزان کسری یا افزونیهای صورتهای مالی را در قیاس با ذخایر مالی صرافی چقدر است. از آنجاکه این ساختار بر شبکه بلاکچینی سوار است، امکان دستکاری و ایجاد صورتحسابهای صوری وجود ندارد.
دوم. اثبات عمومی ذخیره
برای افزایش شفافیت، برخی از صرافیها نیز آدرس کیفپول خود را در بلاکچین نشان میدهند. این به کاربران و سایر اشخاص ذینفع اجازه میدهد تا بر کل داراییهایی که صرافی در طول عملیات مالی خود ذخیره میکند، نظارت کنند. افراد این فرصت را دارند تا مقادیر بیتکوینها و سایر رمزارزهایی را که صرافیها ذخیره کردهاند و با آدرسهای کیف پول منتشر شده به دست میآیند، ببینند.
سوم. حسابرسی شخص ثالث
علاوه بر ابزارهای رمزنگاری، برخی مبادلات شامل ممیزی و حسابرسی شخص ثالث میشوند که در آن حسابرسهای مستقل داراییهای موجود مبادلات را بررسی میکند. چنین ممیزیهایی با ارجاع به ارقام داراییهای ذخیره در کیفپول و وجوه بدهی به مشتریان انجام میشود. ممیزیهای مستقل باعث ایجاد اطمینان نسبتبه یکپارچگی فرآیند اثبات ذخیره بهویژه سازکارهای مدیریتی میشود، همچنین سطح اطمینان از عدم دستکاری را بالا میبرد.
مراحل عملیاتی اثبات ذخیره
چند مرحله در انجام اثبات ذخیره وجود دارد تا فرآیند بهصورت شفاف، دقیق و خصوصی برای هر کاربر اجرا شود. روندی از فرآیند تایید اثبات ذخیره اغلب بهصورت زیر است:
یکم. اسنپشات از بدهیها
سیستم ابتدا از تمام داراییهای کاربر (شامل بدهیها و موجودیها) یک عکس فوری یا اسنپشات میگیرد. این عکس بستانکاری مجموع هر مشتری بهصورت ارزهای دیجیتال یا فیاتها مختلف را نمایش میدهد.
دوم. ساختن درخت مرکل
صرافی موجودی هر کاربر را در یک درخت مرکل هش میکند و این ساختار امکان تایید کارا و خصوصی را فراهم میکند. بدینترتیب هر کاربر باید هش موجودی خود را ارایه کند، سپس میتوان از آن برای تایید اینکه موجودی او در بین کل بدهیهاست بهره برد؛ بدون اینکه فهرست کامل سپردههایش افشا شود.
سوم. اثبات افشای ذخیره
صرافی ذخیره خود را اغلب بهصورت آدرس کیفپول در زنجیرهبلاکی منتشر میکند. این نوع شفافیت به کاربران و حسابرسان فرصتی میدهد تا از ذخیره واقعی موجود در صرافی اطمینان حاصل کنند. هرکسی میتواند درباره کل ذخیره موجود در کیفپولهای صرافی به لطف دادههای عمومی بلاکچین به اطمینان برسد.
چهارم. حسابرسی شخص ثالث
حسابرس شخص ثالث فرد یا گروه مستقل زبدهای است که از سوی صرافیها بهطور مرتب استخدام میشوند تا تمام دادهها و اسناد در ارتباط با ذخایر و رفتار مالی صرافی را بهطور کامل بررسی کند. صرافی باید استقلال دایم و مصونیت این حسابرسان را تضمین کند (بهطور معمول پیشنهاد میشود این عمل بهصورت کور (blind) و برونسپاریشده انجام شود). حسابرس بدهیها را -که اغلب سپردههای کاربران است- با ذخیره داراییهای زنجیرهای که از سوی صرافی نگهداری میشود، مقایسه میکند تا ببیند آیا تراز پرداخت در وضعیت مناسبی قرار دارد یا خیر. به عبارت دیگر، در صورتیکه ذخیره برابر یا بیشتر از بدهیها باشد، صرافی از حسابرسی سربلند بیرون میآید.
پنجم. تایید کاربر
پس از ممیزی و حسابرسی، کاربران میتوانند بهطور مستقل ترازهای خود را تایید کنند. کاربران میتوانند از درخت مرکل استفاده کرده تا ثابت کنند موجودی آنها در کل بدهیها گنجانده شده است، بدون اینکه دادههای فردی خود را نشان دهند.
چالشها
در حالیکه اثبات ذخیره یک راهحل امیدوارکننده برای ایجاد شفافیت است، اجرای آن چالشهایی دارد. این موارد را میتوان بهصورت زیر خلاصه کرد:
یکم. بدهیهای نامریی
یکی از مهمترین محدودیتهای اثبات ذخیره این است که تمایل دارد فقط روی ذخیره متمرکز شود. بنابراین با افشای کمی یا حتی بدون افشای بدهیهای خارج از زنجیره، صرافیها فرآیند اثبات ذخیره را تکمیل میکنند. با این حال ممکن است بدهیهای دیگری مانند وام، حقوق و هزینههای جاری وجود داشته باشد که بهصراحت در صورتهای مالی خود را نشان ندهند. این یعنی احتمال نکول و ورشکستگی غیر صفر نخواهد بود، زیرا حتی با اجرای همه اقدامات که در ظاهر نشان میدهد ذخیره کافی برای پوشش سپردههای مشتریان وجود دارد، ممکن است بدهیهای خارج از زنجیره هم به اندازه کافی بزرگ باشد.
دوم. فقدان استانداردسازی
در حالیکه ممکن است این یک دستورالعمل ایدهآل به نظر برسد، در حال حاضر هیچ استاندارد پذیرفتهشدهای برای اجرا و توسعه اثبات ذخیره در صرافیهای مختلف وجود ندارد و در دستورالعملهای حسابداری نیز دیده نمیشود. این موضوع بهنوبه خود، مقایسه نتایج اثبات ذخیره را در صرافیهای مختلف برای کاربران سخت میکند. فقدان استانداردسازی همچنین دری را برای دستکاری باز میکند، بهموجب آن یک صرافی در موقعیتی قرار میگیرد که بهطور انتخابی دادهها را بهگونهای نشان دهد که همواره رضایتبخش بهنظر برسد.
سوم. زمان واقعی بودن دادهها
برای اثبات ذخیره اغلب به عکسهای فوری در لحظههای خاص تکیه میکند. با این حال، بازارهای کریپتو بهسرعت متحول میشود و در عرض چند ساعت، وضعیت مالی یک صرافی ممکن است تغییر کند. بهروزرسانیهای بیدرنگ یا مکرر ارایه نمیشوند یا به بیان بهتر ممکن نیست؛ از اینرو، PoR میتواند حس امنیت کاذبی را برای کاربران ایجاد کند زیرا میتواند نوسانات زیادی در وضعیت ذخیره بین دو عکس فوری وجود داشته باشد که معنادار نباشد.
چهارم. پیچیدگی برای کاربران
هنگامیکه تکنیکهای رمزنگاری پیشرفته مانند درخت مرکل بهکار گرفته میشوند، ممکن است اثبات ذخیره برای کاربران عادی پیچیده باشد. بهدلیل پیچیدگی اثبات ذخیره، اکثر کاربران درک کاملی از نحوه تایید موجودی خود یا معنای ممیزیهای اثبات ذخیره برای امنیت وجوه خود ندارند. این ممکن است باعث کاهش سطح اطمینان به PoR شود، زیرا کاربران ممکن است تحت تاثیر فنی بودن چنین فرآیندی قرار گیرند.
پنجم. هزینهها و بار عملیاتی
پیادهسازی اثبات ذخیره به تخصص فنی و نیز منابع مالی نیاز دارد. صرافیهای کوچکتر ممکن است برای تخصیص بودجه لازم برای انجام ممیزیهای منظم، راهاندازی زیرساختهای ایمن و اطمینان از گزارشدهی دقیق مشکل داشته باشند. هزینه انجام ممیزیهای مکرر و حفظ شفافیت میتواند بالا باشد و این هزینهها ممکن است در قالب هزینههای بالادستی به کاربران تحمیل شود.
نمونههای اثبات ذخیره
تعداد زیادی از صرافیها برای شفافتر شدن هرچه بیشتر و جلب اعتماد کاربران، شروع به اجرای شیوههای اثبات ذخیره کردهاند. برخی از نمونههای شناختهشده عبارتند از:
صرافی کراکن (Kraken):
کراکن یکی از اولین صرافیهای بزرگی بود که اثبات ذخیره را معرفی کرد. بهطور مرتب ممیزیهای شخص ثالث را منتشر و از ساختار درخت مرکل استفاده میکند و کاربران را قادر میسازد تا بهطور مستقل موجودی حساب خود را تایید کنند.
صرافی بایننس (Binance):
در پی فروپاشی FTX، بایننس با انتشار آدرسهای کیف پول و همکاری با حسابرسان شخص ثالث برای تایید ذخیره خود، برای اجرای یک طرح PoR شتابان وارد شد. بایننس همچنین سعی کرد تا کاربران خود را از نحوه تایید مستقل وجوه خود از طریق این فرآیند اثبات ذخیره آگاه کند.
راهحل حضانت
حضانت یا نگهداری شامل راهکارهایی است که میتواند کاربران را از ضررها و مشکلات خاصی همچون حملات سایبری، هک، دسترسیهای غیرمجاز و کلاهبرداری محافظت کند؛ در نتیجه موجب افزایش ایمنی داراییها افراد و سطح اعتمادشان به صرافیها و ابزارهای مالی متمرکز شود.
در راهحلهای نگهداری و حضانت بخشی دارایی افراد نزد صرافیهای ایمن مانند سپرده میماند، به این منظور آنها از طرحها و فناوریهای مختلفی بهره میبرند. هدف این راهکارها کاهش خطرات تا حد قابل قبول است، برای اینکه تعادلی میان نقدینگی و امکان تجارت و معاملات روان فراهم شود. گفتنی است که صرافیهای متمرکز این راهکارها را برای ارزهای دیجیتال مهم مانند بیتکوین (Bitcoin) و اتریوم (Ethereum) و تعداد مشخصی آلتکوینها اجرا میکنند.
انواع راهحلهای حضانت
راهحلهای حضانت بستهبه اندازه مبادله، ارزش داراییهای تحت مدیریت و نیازهای خاص پلتفرم میتواند از نظر پیچیدگی متفاوت باشد. در ادامه انواع راهحلهای نگهداری که بهطور معمول در مبادلات متمرکز استفاده میشود، آمده است:
یکم. ذخیرهسازی سرد
در فرآیند ذخیرهسازی سرد تمام ارزهای دیجیتال بهصورت آفلاین ذخیره میشوند و به اینترنت متصل نیستند تا خطر هک شدن به حداقل برسد. هدف و مزایا ذخیرهسازی سرد زمانی مشخص میشود که به یاد داشته باشید کیفپولهای داغ یا هر شکل دیگری از ذخیرهسازی ارز دیجیتال آنلاین، حدی از ناایمنی و خطرات خارجی را به همراه دارد. گفتنی است کیفپولهایی همچنین بهعنوان یک دیکشنری در شبکه عمل میکنند و با وجود برخط نبودن، امکان امضای تراکنشها را فراهم میآورند.
کیفپولهای سختافزاری
کیفپولهای سختافزاری یکی از رایجترین شکلهای ذخیرهسازی سرد هستند که در آن کلیدهای خصوصی در یک دستگاه فیزیکی ذخیره میشود. از این کیفپولها میتوان برای امضای تراکنشهای آفلاین استفاده کرد، بهطوریکه تنها وقتی کاربر بخواهد از حساب خود برداشت یا تراکنش انجام دهد، به اینترنت متصل میشوند.
کیفپول کاغذی
برای برخی از صرافیها، بهویژه آنهاییکه در ابتدای راه هستند، کیفهای کاغذی را عرضه میکنند. به زبان ساده، یک رشته از کلید خصوصی و آدرس بهصورت آنلاین تولید و روی یک تکه کاغذ چاپ میشود. البته کیفپولهای کاغذی هنوز از گم شدن، استفاده غیرمجاز مخفیانه و شرایط دیگری از این دست محافظت نمیکند، بهویژه زمانیکه پای تبادلات بزرگ در میان باشد.
رایانههای ایرگپ (Air Gap)
برخی از صرافیها که کمی محتاطتر هستند، فقط به کیفپولهایی که اشاره شد بسنده نمیکنند، بلکه سیستمهای ایرگپ (رایانههایی که هیچ امکان اتصال فلش، اینترنت و … ندارند و فقط تحت پروتکلهایی تبادل اطلاعات در آنها ممکن است) را بهکار میگیرند که بهمراتب امنیت بالاتری تضمین میکند، زیرا کلیدهای خصوصی هرگز نمیتوانند به شبکه متصل شوند.
ذخیرهسازی سرد بهطور عمده برای درصد زیادی از وجوه یک صرافی، بهویژه آنهایی که بهصورت تبادل روزانه ندارند، فعال میشود. با این حال، این رویکرد با معایبی همراه است، از جمله کاهش سطح فعالیت و تاخیر در روند برداشت، بهدلیل این واقعیت که اگر فرد مجبور به انتقال ارزهایش از این کیفپولها باشد، به مشارکت انسانی و اقدامات امنیتی سختگیرانه نیاز دارد.
دوم. ذخیرهسازی داغ
برخلاف ذخیرهسازی سرد، کیفپولهای داغ به اینترنت متصل هستند و برای انجام تراکنشهای روزانه در صرافیها مورد استفاده قرار میگیرند. این دسته کیفپولها، نقدینگی مورد نیاز مبادله را برای پردازش سریع تراکنشها، سپردهها، برداشتها و معاملات فراهم میکند.
در حالیکه کیفپولهای داغ بهطور قابلتوجهی هم برای کاربران و هم برای صرافیها مفید هستند، اما هک کردن آنها نیز بسیار آسانتر است. اگر یک مهاجم موفق به نقض سیستمهای صرافی شود، میتواند کیفپولهای داغ را به خطر بیندازد و با پول فرار کند. بنابراین، بر عهده صرافی است که اقدامات امنیتی کافی را درباره کیفپولهای داغ اعمال کند که عبارتند از:
کیفپولهای چند امضایی:
این کیفپولها به بیش از یک طرف نیاز دارند تا یک تراکنش را برای اجرا امضا کنند. این احتمال انتقال غیرمجاز را کاهش میدهد، زیرا یک مهاجم باید چند کلید خصوصی برای انتقال وجوه به دست آورد.
نظارت در زمان واقعی:
اغلب از سیستمهای پایش بیدرنگ استفاده میکنند که به آنها کمک میکند تا فوری متوجه شوند که یک فعالیت مشکوک وجود دارد، مانند برداشت مقادیر بیش از حد یا نامنظم، تا در سریعترین زمان ممکن در برابر تهدید احتمالی واکنش نشان دهند. کیفپولهای داغ بخشی از هشدارهای خودکار هستند که خطر حملات سایبری را کاهش میدهند.
بیشتر صرافیها سعی میکنند تا حد امکان داراییهای کمتری را در کیفپولهای داغ نگه دارند، فقط آنچه را که برای نقدینگی عملیاتی نیاز است، حفظ کرده و بیشتر وجوه کاربران را به انبار سرد منتقل میکنند. گاهی اوقات بهعنوان «مدل نگهداری ترکیبی» نامیده میشود، این ترکیب از ذخیرهسازی سرد و گرم اجازه میدهد تا تعادل بین امنیت و قابلیت بهرهبرداری برقرار شود.
سوم. رایانش چند جزیی (MPC)
رایانش یا محاسبات چند جزیی یا چند حزبی، یک تکنیک رمزنگاری پیشرفتهتر و مدرن است که در فضای نگهداری و حضانت مورد توجه بسیاری قرار گرفته است. با MPC، قطعات یک کلید خصوصی میتواند نزد چند طرف نگهداری شود و هیچکس کل کلید را در دست ندارد. طرفین باید برای مجوز دادن به یک تراکنش همکاری کنند و هرگز قطعات کلیدی مربوطبه خود را به اشتراک نگذارند که به موجب آن امنیت افزایش مییابد.
مزیت اصلی MPC این است که این فناوری خطر نقطه شکست را کاهش میدهد. حتی زمانیکه قطعه کلیدی یک طرف در معرض خطر قرار میگیرد، مهاجم نمیتواند بدون قطعات دیگر مبلغی را جابهجا کند. این موضوع بهویژه برای صرافیهایی مفید است که میخواهند راهحلی انعطافپذیرتر از ذخیرهسازی سرد داشته باشند، اما همچنان بهدنبال به حداقل رساندن خطر سرقت کلیدهای خصوصی هستند.
با MPC، مدیریت دارایی روانتر میشود، زیرا صرافیها میتوانند وجوه را بهطور ایمن و بدون تاخیری که اغلب در انتقال وجوه از ذخیرهسازی سرد به ذخیرهسازی گرم وجود دارد، جابهجا کنند. بهنوبه خود، این موضوع آن را به یک راهحل جذاب برای صرافیهایی تبدیل میکند که سعی میکنند سطح نقدینگی را بدون فدا کردن امنیت به حداکثر برسانند. هرچند این راهکار اصلن ارزان نیست!
چهارم. متولیان شخص ثالث
بهاستثنای صرافیهای متمرکز بزرگ، بسیاری از صرافیها حضانت را به متولیان شخص ثالث برونسپاری میکنند. درواقع شرکتهایی بهعنوان بازوی اجرایی حرفهای ثالث استخدام میشوند که در نگهداری از داراییهای دیجیتال با ارایه خدمات اغلب نگهداری سرد فعالیت میکنند، آنها برای افزایش اعتماد کاربران هرآنچه نزد خود دارند را بیمه کرده و از انطباق فرآیندها با مقررات اطمینان حاصل میکنند. متولیان شخص ثالث معروف عبارتند از کوینبیس کاستدی (Coinbase Custody)، بیتگو (BitGo) و انکوراژ (Anchorage).
برونسپاری حضانت به شرکتهای ثالث به صرافیها اجازه میدهد تا روی عملیات اصلی خود مانند تجارت و مدیریت نقدینگی تمرکز کنند، در حالیکه برای مدیریت امنیت و نگهداری داراییها به کارشناسان متکی هستند. با این حال، لایهای از وابستگی را نیز ایجاد میکند، زیرا صرافی باید به نگهبان اعتماد کند تا از وجوه کاربران بهطور موثر محافظت کند.
بیمه و مدیریت ریسک
هر نوع راهحل حضانت و نگهداری بدون بیمهنامهای که خسارات ناشی از سرقت، کلاهبرداری یا هر نوع شکست عملیاتی را پوشش دهد، بیمعنی است. اصل بنیادی بیمه، ریسک حسابشده و قابل سنجش است. اگر ریسک با زمان تغییر نکند یا دستکم پیشبینیپذیری آن بهطور مستمر قابل استناد باشد، بیمه کردن امری معقول است. از اینرو، زمانیکه با ذخیرهسازی سرد سروکار داریم بیشتر صرافیها بیمهنامههای مستحکم و روشهای نوآورانهای در بیمه را انتخاب میکنند، ضمن اینکه اغلب ارزش مادی و حجم داراییها در این ساختار بیشتر است. در مقابل، بیمههای روش نگهداری داغ، ارزش کمتری دارد زیرا ریسکهای بالاتر و غیرقابل پیشیبینی همراه این روش دیده میشود.
چالشهای راهحل حضانت برای اجرا
تعادل امنیت و دسترسی: سرد در مقابل داغ
یکی از چالشها، برقراری تعادل بین امنیت قابلقبول و میزان نقدینگی است. کیفپولهای سرد یا آنهایی که آفلاین نگه داشته میشوند، بسیار امن هستند اما متاسفانه بر توانایی صرافی برای پردازش بهموقع برداشتها و معاملات تاثیر میگذارد. برعکس، کیفپولهای داغ، با ذخیرهسازی آنلاین، در برابر هکها آسیبپذیرتر هستند، اما از نظر عملی بیشتر در کار روزانه بهکار میآیند. اقدام متعادل بین دسترسی کافی و تضمین امنیت چالشی بیپایان است.
از سوی دیگر، پیچیدگیهای عملیاتی و فناوری فراوان را میتوان به مدد تکنیکهای نگهداری پیشرفته، مانند MPC به کار برد تا تعادل یادشده به دست آید، اما به فناوریهای بالغ برای پیادهسازی و نیروی کار متخصص برای مدیریت صحیح آنها نیاز است. به این ترتیب، صرافیهای کوچک و متوسط چهبسا تخصص یا منابع لازم برای استقرار آنها را ندارند.
کیفپولهای چندعلامتی یا متولیان شخص ثالث نیز هنگام تلاش برای مدیریت دسترسی چند طرف، پیچیدگی عملیاتی را اضافه میکنند. مدیریت پیچیدگی کیفپول و بازیابی کلید یا از دست دادن کلیدهای خصوصی نیز میتواند مشکلاتی را ایجاد کند.
راهحلهای حسابرسی
همانطور که اشاره شد، اعتماد در صنعت کریپتو یک بخش حیاتی برای صرافیهای متمرکز است. حصول اطمینان فقط از ایمن بودن ناشی نمیشود، بلکه مطابقت فعالیتها و تراکنشها در یک صرافی با مقررات داخلی و عمومی کشورها و حوزههای قضایی نیز بسیار مهم است. در نتیجه، راهحلهای حسابرسی به یک عمل ضروری برای مبادلات برای نشان دادن پاسخگویی، افزایش شفافیت و تایید یکپارچگی مالی و عملیاتی تبدیل شده است.
راهکارهای حسابرسی به فرآیندها و سیستمهایی اطلاق میشود که از سوی صرافیها برای تایید و اعتبارسنجی ذخایر، شیوههای امنیتی و انطباق با مقررات آنها استفاده میشود. این ممیزیها را میتوان بهصورت داخلی یا از طریق حسابرسان شخص ثالث انجام داد. در روند این راهکارها، جنبههای مختلفی از عملیات یک صرافی، از توانمندی مالی تا انعطافپذیری امنیت سایبری باید پوشش داده شود.
انواع حسابرسی در صرافیهای ارزهای دیجیتال
یکم. حسابرسی مالی
حسابرسیهای مالی، بهویژه در قالب اثبات ذخیره، یکی از رایجترین شیوههای حسابرسی در مبادلات متمرکز است. همانطور که اشاره شد این ممیزیها برای تایید این موضوع طراحی و اجرا شدهاند که یک صرافی داراییهای کافی برای پوشش تمام سپردههای کاربران را در اختیار دارد. بهعبارت دیگر، هدف آنها اثبات این است که ذخایر (دارایی) صرافی بیش از بدهیهای آن (موجودی مشتری) باشد.
دوم. ممیزیها و بازرسیهای امنیتی
با توجهبه فراوانی هکها و حملات سایبری در فضای کریپتو، ممیزیهای امنیتی برای اطمینان از استحکام زیرساخت صرافی ضروری است. بازرسیهای امنیتی توانایی صرافی را برای محافظت از وجوه کاربر در برابر تهدیدات داخلی و خارجی، شناسایی آسیبپذیریهای احتمالی و ارایه توصیههایی برای بهبود ارزیابی میکنند.
ممیزیهای امنیتی بهطور معمول حوزههایی مانند موارد زیر را شامل میشود:
امنیت کیف پول سرد و گرم:
بررسی روشهای امنیتی پیرامون ذخیرهسازی ارزهای دیجیتال، از جمله استفاده از ذخیرهسازی سرد برای محافظت طولانیمدت داراییها و کیفپولهای چندامضایی برای تراکنشهای کیفپول داغ بهطور مرتب باید انجام و بهروزرسانی شود.
مدیریت کلید خصوصی:
اطمینان از اینکه کلیدهای خصوصی بهطور ایمن ذخیره و بهدرستی مدیریت میشوند، بهویژه هنگام استفاده از تکنیکهای پیشرفته.
کنترل دسترسیها:
بررسی نحوه مدیریت دسترسی به سیستمها و وجوه حیاتی، اطمینان از اینکه فقط پرسنل مجاز میتوانند تراکنشها را انجام دهند یا به اطلاعات حساس دسترسی داشته باشند.
واکنش لحظهای به رخدادها (Incident Response):
به ارزیابی توانایی صرافی برای شناسایی و پاسخگویی به رخنهها یا حوادث امنیتی در زمان واقعی، از جمله آمادگی آن برای رسیدگی به هکهای احتمالی یا نشت دادهها اشاره دارد.
این ممیزیها بهطور معمول از سوی شرکتهای ثالث امنیت سایبری متخصص در فناوری بلاکچین انجام میشود. نتایج ممیزی به صرافیها کمک میکند تا نقاط ضعف پروتکلهای امنیتی خود را شناسایی کرده و اقدامات پیشگیرانه را برای محافظت از وجوه کاربران انجام دهند.
سوم. حسابرسی انطباقی
همانطور که چشمانداز نظارتی و تنظیمگری برای ارزهای رمزنگاریشده همچنان در حال توسعه و تکامل است، صرافیهای متمرکز باید از تعداد فزایندهای از قوانین و دستورالعملها پیروی کنند. ممیزیهای انطباقی برای اطمینان از پایبندی صرافیها به مقررات مالی و قانونی مربوط، بهویژه در زمینههایی مانند «ضد پولشویی» (AML) و الزامات «احراز هویت مشتریان» (KYC) طراحی شدهاند.
اجزای کلیدی ممیزی انطباق عبارتند از:
انطباق با KYC/AML:
اطمینان از اینکه صرافی سیستمهای مناسبی برای تایید هویت کاربران خود، جلوگیری از فعالیتهای غیرقانونی مانند پولشویی و مطابقت با مقررات منطقهای و بینالمللی دارد.
مجوز و الزامات قانونی:
تایید اینکه صرافی در چهارچوبهای قانونی کشورهایی که در آنجا تجارت میکند، عمل کند. این موضوع میتواند شامل بررسی صحت و رتبه و زمان اعتبار مجوزها یا تاییدیههای لازمی باشد که صرافیها موظف هستند از تنظیمگران مالی و تجاری دریافت کنند.
تطابق مالیاتی:
اطمینان از اینکه صرافی به تعهدات مالیاتی خود عمل میکند و ابزارهای گزارش مالیاتی لازم برای حوزه قضایی خود را در اختیار کاربران قرار میدهد.
حریم خصوصی داده:
بررسی سیاستهای حفاظت از داده برای اطمینان از مطابقت آنها با مقرراتی مانند مقررات عمومی حفاظت از داده و قوانین حفظ حریم خصوصی مصرفکنندگان.
ممیزی انطباقی بهطور معمول بهصورت منظم (در بیشتر کشورها از سوی نهاد قضایی و دولتی) انجام میشود تا از پایبندی مداوم به مقررات اطمینان حاصل شود و به تنظیمگران و کاربران نشان دهد که صرافی در محدودههای قانونی عمل میکند.
چهارم. حسابرسی عملیاتی
نظارت یا حسابرسی عملیاتی بر فرآیندها و کنترلهای داخلی صرافی تمرکز میکنند تا اطمینان حاصل شود که کارآمد و موثر است. این ممیزیها ارزیابی میکنند که آیا صرافی مدنظر سیستمهای کافی برای مدیریت ریسک، رسیدگی به عملیات روزانه و حفظ یکپارچگی پلتفرم معاملاتی خود را دارد یا خیر.
حوزههای کلیدی تحت پوشش در ممیزیهای عملیاتی عبارتند از:
مدیریت ریسک:
ارزیابی توانایی صرافی برای مدیریت ریسکهای مالی و عملیاتی، از جمله نوسانات بازار، مدیریت نقدینگی و برنامهریزی احتمالی.
کنترلهای داخلی:
ارزیابی اثربخشی کنترلهای داخلی، مانند دسترسی کارکنان به سیستمها، مکانیسمهای پیشگیری از تقلب و نظارت بر تراکنشها.
بازیابی:
تایید اینکه صرافی رویههای کافی برای بازیابی در قبال رخدادهای ناگهانی و خطرآفرین دارد، مانند سیستمهای پشتیبان و پروتکلهایی برای رسیدگی به خرابیها یا قطعیهای غیرمنتظره.
نظارتهای عملیاتی به صرافیها کمک میکند تا فرآیندهای داخلی خود را بهینه کنند، ناکارآمدیها را کاهش دهند و اطمینان حاصل کنند که میتوانند حتی در موقعیتهای پراسترس هموار، بهینه و روان عمل کنند.
فناوریها و روشهای حسابرسی
حسابرسی در صنعت ارزهای دیجیتال اغلب از فناوریهای پیشرفته برای اطمینان از شفافیت، دقت و امنیت استفاده میکند. برخی از متداولترین روشها و ابزارها عبارتند از:
ممیزی درخت مرکل:
بهعنوان بخشی از اثبات ذخایر، صرافیها از درخت مرکل استفاده میکنند تا به کاربران اجازه دهند ماندههای خود را بدون افشای دادههای سایر کاربران تایید کنند. صحت عملکرد، دقت و واقعی بودن این ساختار درختی باید همواره بررسی شود.
تجزیه و تحلیل بلاکچین:
حسابرسان از ابزارهای آنالیز بلاکچین برای ردیابی و تایید فعالیت درونزنجیره صرافی استفاده میکنند. این ابزارها میتوانند بینشهایی بر حسب زمان واقعی از جریان وجوه ارایه دهند و به شناسایی هرگونه فعالیت یا ناهنجاری مشکوک کمک کنند.
قراردادهای هوشمند:
در برخی موارد، صرافیها برای خودکارسازی و تایید فرآیندهای خاص، مانند نقل و انتقال دارایی یا بررسی انطباق، به قراردادهای هوشمند متکی هستند. قراردادهای هوشمند میتوانند اطمینان حاصل کنند که برخی از شرایط قبل از انجام تراکنشها برآورده میشوند و یک لایه اضافی از مسوولیتپذیری را اضافه میکنند.
سیستمهای نظارت خودکار:
سیستمهای مانیتورینگ بیدرنگ اغلب برای شناسایی فعالیتهای غیرعادی مانند برداشتهای بزرگ یا مشکوک، تلاشهای هک یا خطاهای عملیاتی استفاده میشوند. این سیستمها میتوانند هشدارهایی را برای بررسی بیشتر از سوی حسابرسان یا تیمهای داخلی ایجاد کنند.
این فناوریها صرافیها را قادر میسازد تا فرآیندهای حسابرسی را اجرا کنند که نهتنها امن، بلکه شفاف نیز هستند و امکان نظارت و تایید مستمر را فراهم میکنند.
چالشها در پیادهسازی راهحلهای حسابرسی
یکم. هزینه حسابرسی
حسابرسیهای مالی منظم، شخص ثالث، نظارتهای امنیتی و ممیزیهای انطباقی پرهزینه هستند، بهویژه زمانیکه از سوی شرکتهای حسابرسی معتبر انجام شود. ممیزی مستمر یا بیدرنگ به منابع مالی و عملیاتی قابلتوجهی نیاز دارد. برای مبادلات کوچکتر، این هزینهها میتواند گزاف باشد که ممکن است به ناقص انجام شدن یا تاخیر در ممیزی منجر شود.
دوم. فاصله زمانی بین حسابرسی
حسابرسیهای سنتی اغلب بهصورت دورهای (بهعنوان مثال سالانه یا شش ماهه) انجام میشود، که یعنی میتواند شکافهای قابلتوجهی در نظارت وجود داشته باشد. در این دورهها، وضعیت مالی یا امنیتی صرافی میتواند بهطور چشمگیری تغییر کرده و کاربران را آسیبپذیر کند. این امر بهویژه در بازارهای پرشتاب کریپتو که نقدینگی میتواند شبهنوسانات عمدهای تجربه کند، نگرانکننده است.
سوم. استقلال و صداقت حسابرس
حسابرسان باید مستقل و قابلاعتماد باشند تا فرآیند پذیرفتنی و اطمینانبخش بهنظر آید. اگر حسابرس رابطه نزدیکی با صرافی داشته باشد یا گمان تعارض منافع برود، میتوان انتظار داشت که گزارشهای جانبدارانه یا بیتوجه به خطوط قرمز تهیه و منتشر شود. اعتماد به یکپارچگی حسابرس ضروری است، اما اطمینان از استقلال کامل میتواند چالشبرانگیز باشد، بهویژه در بازارهای کوچکتر یا دارای قوانین کمتر.
همچنین فروپاشی شرکتهایی مانند انران (Enron) (شرکت مالی سنتی) یا FTX (شرکت کریپتویی) نشان میدهد که اگر حسابرسها هوشیار نباشند یا اگر اظهارنامههای مالی برای شناسایی در بررسیهای دورهای بیش از حد پیچیده باشد، حسابرسی بهتنهایی از تقلب و دستکاری جلوگیری نمیکند.
چهارم. عدم قطعیت نظارتی
مقررات کریپتو هنوز در حال تکامل هستند و صرافیها اغلب در حوزههای قضایی متعددی عمل میکنند که هر کدام چهارچوبهای قانونی و استانداردهای متفاوتی دارند. اطمینان از انطباق با تمام مقررات مربوطبه ضد پولشویی و احراز هویت مشتریان، یک چالش مهم است، بهویژه زمانیکه قوانین تعارضاتی با یکدیگر دارند. حسابرسیهای انطباقی منظم مستلزم بهروز ماندن مبادلات با قوانین در حال تغییر است، که میتواند منابعی برای فشردگی، پیچیدگی و اختلال عملیاتی باشد، بهخصوص اگر رویهها در مناطق مختلف تفاوتهای عمدهای داشته باشد.
پنجم. اعتماد و آگاهی
در حالیکه حسابرسیها برای رسیدن به سطح اطمینان بیشتر طراحی شدهاند، کاربران ممکن است بهطور کامل دامنه ممیزی یا آنچه را پوشش میدهد درک نکنند. برای مثال، حسابرسی مالی ممکن است تایید کند که صرافی ذخایر کافی دارد، اما ممکن است اقدامات امنیت سایبری صرافی را تایید نکند، حتی اگر بهسرعت رفعشدنی باشند. چنین شرایطی میتواند شکافهای قابلتوجهی را در اعتماد کاربران ایجاد کند، زیرا ممکن است این باور در آنها ایجاد شود که حسابرسی بیش از حد لازم انجام میشود یا شاید چیزهایی پنهان شده است. درواقع انتشار موثر نتایج حسابرسی خود هنر والایی محسوب میشود که صداقت و شفافیت، موجب ایجاد اختلال و نگرانی بیمورد یا حتی خوشخیالی نشود.
سخن پایانی
در حالیکه اثبات ذخیره، راهحلهای حضانت و سازکارهای حسابرسی بخشهای حیاتی مبادلات متمرکز برای ایجاد اعتماد و محافظت از داراییهای کاربر هستند، اجرای آنها با چالشهای مهمی همراه است. این چالشها طیف گستردهای از عوامل را شامل میشود، از موانع فنی گرفته تا پیچیدگیهای نظارتی. درحال حاضر چنین بهنظر میرسد که چارهای جز اینکه صرافیهای متمرکز این پیچیدگیها را برای حفظ امنیت و شفافیت دنبال کنند، وجود ندارد. اما همانطور که صنعت ارزهای دیجیتال به تکامل خود ادامه میدهد، صرافیهای متمرکز باید بهطور مداوم این روشها و سیستمها را بهبود بخشند تا امن، شفاف و مورد اعتماد کاربران باقی بمانند. این موضوع نهتنها باید شامل غلبه بر چالشهای موجود باشد، بلکه نیاز است سازگار با چشمانداز فناورانه و نظارتی نیز توسعه یابد.
بهعنوان سخن پایانی باید خاطرنشان کرد صرافیهای متمرکز در حال حاضر، علیرغم ارتباط این راهحل با یکدیگر، بیشتر بهنظر میرسد با نگاه تفکیکی با موضوع برخورد میکنند و از این راهکارها سود میبرند. این درحالیاست که در یک چشمانداز صحیح ترکیب این مولفهها میتواند عصای دست این صرافیها شود و اعتبار و اطمینان این پلتفرمها را تضمین میکند.