-
Hay exchanges que simplemente presentan un listado de direcciones con la firma de un auditor.
-
Otros, buscan métodos más sofisticados en los que el propio usuario pueda verificar datos.
La quiebra del exchange de bitcoin (BTC) y criptomonedas, FTX, por presunta mala utilización de fondos de sus clientes, puso en alerta a los usuarios de plataformas de todo el mundo. Latinoamérica no es la excepción y muchos brókeres y exchanges locales buscan llevar tranquilidad a sus clientes mediante pruebas de reservas.
Las pruebas de reservas, tal como se define en la Criptopedia (sección educativa de CriptoNoticias), consisten en la presentación de datos comprobables de la liquidez de una plataforma financiera, por ejemplo, un exchange de criptomonedas. Deben permitir verificar que los fondos con que cuenta la plataforma alcanzan para cumplir con sus compromisos y deudas sin necesidad de utilizar el saldo de sus usuarios.
A continuación, se detalla qué tipo de pruebas han brindado (o no) algunos de los más reconocidos exchanges de Latinoamérica:
Pruebas de reservas basadas en terceros de confianza
Una de las primeras empresas latinoamericanas que presentó pruebas de este tipo fue el exchange argentino Buenbit. La empresa que dirige Federigo Ogue, presentó una prueba firmada por el contador público Marcos Zócaro.
Se trata de un listado de direcciones (mejor dicho, fragmentos de direcciones, como se observa en el cuadro de abajo) de diversas redes de criptomonedas, cada una de ellas con los montos correspondientes (expresados en el activo digital). La empresa afirma ser titular, propietaria y responsable de las wallets mostradas en el listado, así como de los respectivos activos que se salvaguardan en ellas.
Zócaro aclara que solo se limitó a verificar que la compañía pudiera enviar tokens de una wallet a otra y que «no constituye una prueba absoluta de titularidad ni propiedad».
La prueba de reservas de Buenbit no incluye un acta de pasivos, aunque la empresa aseguró estar trabajando en una.
Casi una semana después de Buenbit, uno de sus principales competidores, Lemon Cash, hizo lo mismo. El 17 de noviembre esta empresa hizo públicas tanto una prueba de fondos como un acta de pasivos.
«Estos dos documentos validan que el 100% de los depósitos en crypto que recibimos de nuestros usuarios están asegurados y en poder de Lemon», dice la compañía. De todos modos, en el documento (también elaborado y firmado por Zócaro) se detalla: «si bien técnicamente no puede constatarse la titularidad de las mencionadas wallets, pudo verificarse la posibilidad de la empresa de disponer de los tokens a través de transferencias entre distintas wallets».
Algo que puede mencionarse a modo de crítica sobre este tipo de pruebas de reservas es que requiere confiar en un tercero, en este caso en el profesional que valida las direcciones.
El 23 de noviembre Lemon añadió lo que denomina «prueba de reservas en vivo» en su aplicación para teléfonos móviles. Allí pueden verse las direcciones que el exchange dice poseer y las tenencias de criptoactivos de cada una de ellas (hecho que puede verificarse en exploradores de bloques, aunque es necesario confiar en la palabra de Lemon de que, efectivamente, les pertenecen).
También se ven las tenencias en cuentas de intercambio. Por ejemplo, al momento de esta redacción Lemon dice tener el equivalente USD 4,3 millones en criptomonedas dentro del exchange Binance. Sobre esto, no hay forma de verificarlo en exploradores de bloques por lo que hay que confiar 100% en que la información dada por la empresa es verídica.
Basándonos en la definición dada al inicio de este artículo, de que una prueba incluye evidencias, esto último no puede considerarse una prueba de reservas.
Promesas de pruebas de reservas simples o no definidas
Al menos cinco compañías no presentaron (aún) pruebas de reservas, pero dijeron que lo harían —o que podrían hacerlo— en un futuro. Muchas de ellas, detalladas en este subtítulo, prometieron pruebas de reservas simples, es decir, dependientes 100% de la auditoría de un tercero.
El cofundador del exchange argentino Decrypto, José del Palacio, escribió en Twitter que la prueba de su empresa será un documento firmado por un auditor, en una primera etapa. Él dice valorar el modelo del exchange estadounidense Kraken, pero explica que «no se puede implementar en una semana».
CriptoNoticias también le preguntó a SatoshiTango —uno de los exchanges más longevos de Argentina— si presentarían pruebas de reserva. «Es altamente probable», fue la respuesta. Sobre el método que se utilizaría, aclaran que «aún no está definido». Del método elegido dependerá la forma de verificar la legitimidad de la prueba de reserva, explican, y añaden: «pero la privacidad de nuestros clientes es prioridad».
Para SatoshiTango es importante aclarar que se diferencian en algo de otros exchanges: «No proveemos servicios de staking ni pagamos rendimientos y no colocamos los fondos de usuarios con terceras partes. Las criptomonedas están 98% en almacenamiento en frío y solo 2% en hot wallets».
Por su parte, el CEO del exchange chileno Buda.com se pronunció sobre las pruebas de reserva tras el caso FTX. Guillermo Torrealba había escrito el 9 de noviembre en Twitter: «no me comprometo a hacer esto [mostrar pruebas de reservas] en el corto plazo porque en Buda ya estamos al 150% trabajando en otras cosas. Sí puedo asegurar que contratamos a una auditora big-5 para que audite las custodias. Va a estar pronto. Somos 100% líquidos en fíat y cripto».
Aclaraba Torrealba que era algo que tenían pensado hacer desde hace tiempo, desde antes que se produjera la debacle del exchange FTX:
CriptoNoticias se comunicó con Buda.com para conocer más detalles y este artículo será actualizado en caso de recibir respuestas.
Otro exchange de bitcoin y criptomonedas que se pronunció sobre lo ocurrido con FTX fue Banexcoin. El 18 de noviembre esta empresa peruana les envió a sus usuarios un correo electrónico con el siguiente mensaje:
El correo electrónico no estaba acompañado por ningún tipo de prueba de reservas, por lo que CriptoNoticias se contactó con el centro de soporte para ampliar detalles. Quien respondió fue José De Velasco, jefe de Productos.
«Sí, publicaremos nuestra prueba de reservas», dijo el directivo, para luego añadir:
Con todo lo visto en la industria en estas últimas semanas, consideramos que no es suficiente con mostrar nuestras reservas de las billeteras en cadena para demostrar los fondos que se encuentran bajo nuestra administración. Por tal razón, nos encontramos en proceso de evaluación de una firma externa de renombre para que pueda emitir certificaciones periódicas, validando previamente nuestros procesos.
José De Velasco, jefe de Productos de Banexcoin.
«¿Cómo los usuarios pueden comprobar que las pruebas de reserva que presentarán son legítimas? ¿Cómo saber que no es capital que pidieron prestado para mostrar algo en unas direcciones en un momento específico», le consultó este medio al representante del exchange. La respuesta fue: «La certificación de la firma externa validará que los fondos que mantendremos como reserva no provienen de otro exchange, de esta manera transmitiremos seguridad para nuestros clientes y de igual forma ayudaremos a restaurar la confianza en la industria».
Se desprende de esta explicación que, para saber si Banexcoin tiene las criptomonedas que dice tener, será necesario confiar —tal como ocurre en los exchanges que basan su prueba en auditores— en «la firma externa», es decir en un tercero.
También CryptoMarket, plataforma nacida en Chile en 2016, se apresuró, tras conocerse lo que ocurría con el exchange FTX, a aclarar que no tenían relación con esa empresa.
Mediante un tuit, CryptoMarket aseguró: «el 100% de los balances de criptoactivos de nuestros usuarios está respaldado y custodiado con los más altos estándares de seguridad. Esto considera tanto a billeteras conectadas y no conectadas a internet». En junio, mediante esa misma red social, habían escrito que los fondos de los clientes están almacenados fuera de línea en una wallet fría.
CriptoNoticias les preguntó si presentarían pruebas de reservas. Esta fue la respuesta de CryptoMarket:
Por parte de CryptoMarket, estamos tomando acciones para proteger aún más a nuestros usuarios y por eso, subimos hace unas semanas una solicitud a CoinMarketCap —el sitio web de seguimiento de precios de criptoactivos más reconocido en todo el mundo—, para actualizar nuestra página y entregar información sobre la prueba de reserva de fondos de nuestros clientes y otros datos relevantes para que puedan comprar y vender criptomonedas en nuestra plataforma con total confianza.
Además, estamos por liberar nuestra prueba de fondos, reserva y caja operativa a una auditora externa para compartir esta información a nuestros usuarios.
CryptoMarket, exchange de bitcoin y criptomonedas.
Es decir, CryptoMarket presentará una prueba de reservas (tanto de dinero fíat como de criptomonedas) que implicará confiar en quien realiza la auditoría.
Promesas de pruebas de reservas con menor necesidad de confianza
Así como se presentaron (o se promete presentar) pruebas de reservas que requieren confiar 100% en un auditor externo, hay exchanges que están prometiendo —pues no hubo presentaciones concretas aún— pruebas de reservas más avanzadas (y que, de efectuarse correctamente, serían más confiables para los usuarios).
El CEO de Lemon, Marcelo Cavazzoli, informó vía Twitter que la compañía está en desarrollo de una prueba de reservas basada en árbol de Merkle. Esta es una estructura de datos compuesta por hashes de bloques que resume todas sus transacciones.
De parte del exchange argentino Belo, tuitearon: «Preferimos la contundencia de algo que realmente despeje dudas a las medias tintas». CriptoNoticias se comunicó con responsables de esta compañía para solicitar más detalles, pero, hasta el momento, no se recibieron respuestas.
Ripio, otro exchange argentino, prometió pruebas de reservas, primero mediante un correo electrónico enviado a sus usuarios y lo confirmó luego en comunicación con CriptoNoticias.
Estamos trabajando en una auditoría Proof of Reserves (PoR) con tecnología de Merkle Tree [árbol de Merkle]. PoR es un mecanismo de validación llevado a cabo por un auditor externo que permite comprobar si una entidad —en este caso Ripio— tiene (o no) los fondos que informa. La publicaremos próximamente.
Ripio, exchange argentino de bitcoin y criptomonedas.
Aclara la empresa que «un auditor externo saca una ‘foto’ anónima de los saldos de cada uno de los usuarios y los agrega a un ‘árbol de Merkle’, que es una estructura en la que se representan los datos de los usuarios de manera anónima y su saldo cripto». Eso, según explican, les permitirá obtener una «huella digital criptográfica» que identificará de manera única la combinación de fondos.
Además, de manera paralela —explica Ripio—, «para acreditar la custodia sobre los activos on-chain, [la empresa] firma criptográficamente mensajes que demuestran el control de las llaves privadas que contienen los fondos de cada uno de los usuarios». De esa manera, «el auditor determina si los saldos on-chain de esas wallets coinciden con los fondos de los usuarios representados en el árbol de Merkle».
Ripio indica que mediante ese procedimiento «cada usuario puede ver si su saldo se incluyó en el Proof of Reserves comparando datos con la raíz de Merkle y teniendo la posibilidad de ver si hubo alguna modificación». Así, según comunican, logran transparencia en los movimientos y se verifica la solvencia del exchange.
El exchange de origen mexicano, Bitso, es otro de los que está en vías —según informa— de presentar una prueba de fondos.
CriptoNoticias le consultó al CEO de la empresa para Argentina, Julián Colombo, sobre el asunto. Él comentó que las pruebas de reserva, en el formato que las están presentando algunos exchanges (simplemente un listado de direcciones), tienen falencias. Por un lado, explica, «no demuestran que las llaves requeridas para retirar monedas de estas carteras pertenecen a estos exchanges». Además, añade que «no comprueban que las monedas en estas carteras sean suficientes para cubrir todos los pasivos del exchange».
Dice Colombo: «[Estas pruebas de reservas] no demuestran que las llaves requeridas para retirar las monedas de estas carteras pertenecen a estos exchanges. [Además], no comprueba que las monedas en estas carteras sean suficientes para cubrir todos los pasivos del exchange».
Según comenta, con el fin de brindar transparencia están trabajando en estrategias que incluyan árbol de Merkle y reporte de solvencia para validar el saldo de los usuarios. «Esto lo tendremos listo en aproximadamente un mes y lo haremos público apenas esté disponible», dice y aclara que la demora se debe a que prefieren hacerlo bien, más que rápido.
El reporte de solvencia requerirá una auditoría de terceros para lo cual —detalla Colombo— están buscando «un aliado externo que valide responsabilidades, activos y solvencia» de la empresa. Eso estaría listo para inicios de 2023. Además, el directivo explica que, a futuro, las pruebas de cero-conocimiento (ZK, por sus siglas en inglés) «permitirán que la solvencia sea compartida sin exponer información confidencial o requerir que un tercero audite y haga certificaciones basadas en la confianza».
La prueba que importa para que un exchange sea solvente es aquella que muestre que el balance total de las monedas bajo custodia por el exchange es suficiente para cubrir las obligaciones (o liabilities) totales, es decir, el monto total de depósitos de clientes.
Julián Colombo, CEO de Bitso en Argentina.
Volver a las bases de Bitcoin: ser nuestro propio banco
Tal como lo detalla la ya mencionada Criptopedia, una prueba de reservas debe cumplir varios requisitos para brindar alto grado de confianza. Entre estos, es preciso que se detalle no solo la solvencia del exchange sino también las obligaciones o pasivos (caso contrario, sería una prueba incompleta).
También es deseable que una prueba de reservas implique confiar lo menos posible en una tercera parte ¿por qué creer que una empresa auditora o un profesional de las finanzas está diciendo la verdad, por más buena reputación que tenga? Vale aclarar que muchas de las promesas pruebas de reservas aquí mencionadas reducen la necesidad de confiar en un tercero, pero no la eliminan completamente.
Todo esto lleva a recordar algunas máximas que con frecuencia se repiten entre bitcoiners. Una de ellas reza «no confíes, verifica». Quien emplee BTC y otras monedas digitales debería tener cierto grado de escepticismo y verificar por sus propios medios todo lo que le sea posible.
También, casos como la caída de FTX (que incluyó la imposibilidad de retirar criptomonedas del exchange) recuerdan otra máxima bitcoiner: «si no son tus llaves, no son tus bitcoins».
Aunque los exchanges pueden servir para hacer trading, compraventa de bitcoin o intercambios de activos digitales, no es recomendable atesorar criptomonedas en ellos, sino utilizarlos para casos puntuales.
Días atrás, el programador argentino Diego Gurpegui decía lo siguiente al ser consultado por CriptoNoticias sobre el caso FTX: «Este mundo [bitcoin y la industria de las criptomonedas] es un poco como el lejano oeste. Y, para mí, está perfecto que así sea. Pero eso implica responsabilidad, así que son necesarios más escepticismo y responsabilidad».
Para almacenar BTC y otros activos digitales, una wallet de autocustodia —que le brinde al usuario acceso a las llaves privadas— es siempre la opción más segura. De ese modo, es el propio usuario el responsable de custodiar sus llaves privadas, sin depender de un tercero.
Ya lo decía Satoshi Nakamoto, creador de Bitcoin, en el White Paper que dio inicio a este nuevo dinero digital:
Hemos propuesto un sistema para transacciones electrónicas sin depender de la confianza.
Satoshi Nakamoto, creador de Bitcoin.
Dependerá de cada usuario de Bitcoin y criptomonedas llevar a la práctica estos consejos y asumir la responsabilidad de «ser su propio banco».