儲備證明方法的缺陷與改進思路

FTX崩塌事件後，對中心化機構的信任度大幅下降。隨後，多家交易平台開始採用Merkle Tree儲備證明方法，以證明用戶資產安全。然而，這種方法存在一些根本性缺陷。本文將探討現有儲備證明方法的兩個主要問題，並提出幾點改進建議。

現有儲備證明方法概述

目前的儲備證明主要通過第三方審計公司來驗證中心化機構的資產儲備是否與用戶資產餘額相匹配。這包括兩個關鍵步驟：

1. 負債證明：機構生成包含用戶帳戶信息和資產餘額的Merkle Tree，形成一個匿名且不可篡改的帳戶快照。

2. 儲備證明：機構提供其持有的鏈上地址，並通過數字籤名證明所有權。

審計機構隨後對比負債和儲備兩端的資產總量，判斷是否存在資金挪用情況。

現有方法的主要缺陷

1. 審計時間點的局限性

現有的審計通常基於特定時間點，且頻率較低（可能幾個月甚至幾年一次）。這給了中心化機構可乘之機，它們可能在審計期間通過臨時借貸來填補資金缺口，從而順利通過審計。

2. 資產所有權證明的不充分性

僅憑數字籤名並不能完全證明對鏈上資產的實際所有權。中心化機構可能與外部資金方串通，利用同一筆資金爲多家機構同時提供資產證明。現有審計方法難以識別這種欺詐行爲。

改進建議

爲了解決上述問題，同時避免泄露用戶隱私，我們提出以下改進思路：

1. 隨機抽查審計

引入不定期、隨機的審計機制，增加中心化機構操縱帳目的難度。具體實施時，可由可信第三方隨機向中心化機構發送審計請求，要求其立即生成特定時間點（以區塊高度爲準）的用戶帳戶餘額Merkle Tree。

2. 運用MPC-TSS技術加速儲備證明

針對大型交易平台管理衆多鏈上地址的情況，可考慮採用多方計算閾值籤名（MPC-TSS）技術。該技術將私鑰分割爲多個部分，由不同方持有，無需合並私鑰即可共同簽署交易。

具體操作中，第三方審計機構可持有一份私鑰分片，中心化機構持有剩餘部分。通過設置合適的閾值，既保證資產仍由中心化機構控制，又能讓審計機構準確掌握機構的地址集合和資產規模。

這種方法避免了在審計期間將分散資金歸集到少數地址的耗時操作，同時也降低了機構通過臨時借貸或其他手段規避審計的可能性。

通過這些改進，我們有望建立一個更加透明、可靠的儲備證明系統，有效提升用戶對中心化機構的信任度。