저자: 장창하오, Cobo 공동 창립자 및 CTO

FTX의 붕괴 이후 중앙화 기관에 대한 신뢰가 무너짐에 따라, CZ는 트위터에서 거래소가 사용자 자산을 유용하지 않았음을 증명하기 위해 Merkle Tree의 준비금 증명 방법을 채택할 것을 촉구했습니다. 이후 여러 거래소가 이에 응답하고 준비금 증명을 적극적으로 준비하여 고객에게 자금이 안전하다는 것을 보장하기 시작했습니다. 그러나 Merkle Tree 준비금 증명 방법에는 몇 가지 기본적인 결함이 존재합니다. 구체적으로, 중앙화 기관은 이러한 준비금 증명 방법이 실현하고자 하는 유용성 검사를 쉽게 우회할 수 있는 경로를 통해 사용자 자산을 유용할 수 있습니다.

아래에서는 기존 Merkle Tree 준비금 증명 방법의 두 가지 기본 결함을 설명하고, 개선 방안에 대한 몇 가지 아이디어를 제시하겠습니다.

기존 준비금 증명 방법의 작동 원리

사용자와 중앙화 기관 간의 정보 비대칭을 완화하기 위해, 기존의 준비금 증명은 일반적으로 신뢰할 수 있는 제3자 감사 회사가 발행한 감사 보고서를 통해 중앙화 기관이 체인 상에서 보유한 자산의 수량(준비금 증명)과 사용자 자산 잔액 총합(부채 증명)이 일치함을 증명하는 전통적인 감사 방법을 사용합니다.

부채 증명에 대해 중앙화 기관은 사용자 계좌 정보와 자산 잔액을 포함하는 Merkle Tree를 생성해야 합니다. Merkle Tree는 본질적으로 사용자 계좌 자산 잔액의 익명화되고 변경 불가능한 스냅샷을 생성합니다. 각 사용자는 독립적으로 자신의 계좌 해시 값을 계산하고, 자신의 계좌가 Merkle Tree에 포함되어 있는지 확인할 수 있습니다.

준비금 증명에 대해 중앙화 기관은 보유하고 있는 체인 상 주소를 제공하고 이를 검증 및 감사해야 합니다. 일반적인 방법은 중앙화 기관이 체인 상 주소에 대한 소유권을 증명하기 위해 디지털 서명을 제공하도록 요구하는 것입니다.

Merkle Tree의 스냅샷과 체인 상 주소 소유권 확인이 완료된 후, 감사 기관은 부채와 준비 양쪽의 자산 총량을 대조하여 중앙화 기관이 사용자 자금을 유용했는지 판단합니다.

기존 준비금 증명 방법의 결함

1. 대출 자금을 사용하여 감사 통과 가능성

준비금 증명 방법의 한 가지 문제는 감사가 특정 시점에만 기반하고, 일반적으로 몇 개월 또는 몇 년마다 한 번씩만 진행된다는 것입니다. 즉, 중앙화 거래소는 여전히 사용자 자금을 유용할 기회를 가지며, 감사 기간 동안 대출 방식으로 쉽게 공백을 메울 수 있습니다.

2. 외부 자금 제공자와 공모하여 감사 통과 가능성

관련 디지털 서명을 제공하는 것은 해당 주소의 자산 소유권과 다릅니다. 중앙화 기관은 외부 자금 제공자와 공모하여 체인 상 자산 증명을 제공할 수 있습니다. 외부 자금 제공자는 심지어 동일한 자금을 사용하여 여러 기관에 동시에 자산 증명을 제공할 수 있습니다. 현재의 감사 방법은 이러한 사기 행위를 식별하기 어렵습니다.

증명 방법 개선에 대한 몇 가지 아이디어

이상적인 준비금 증명 시스템은 감사자와 최종 사용자에게 부채와 준비를 실시간으로 검사할 수 있는 능력을 제공해야 합니다. 그러나 이는 또한 높은 비용과/또는 사용자 계좌 정보의 유출을 초래할 수 있습니다. 충분한 데이터가 확보되면, 제3자 감사 회사는 익명 데이터를 기반으로 사용자 포지션 정보를 추론할 수 있습니다.

감사 기간 동안 준비금 증명이 위조될 가능성을 방지하면서 사용자 정보를 유출하지 않기 위해, 다음 두 가지 주요 아이디어를 제안합니다:

1. 추출식 랜덤 감사

예측할 수 없는 시간 간격으로 랜덤 감사를 수행하면 중앙화 기관이 계좌 잔액과 체인 상 자산을 조작하기 어려워집니다. 이 방법은 랜덤 감사에서 잡히는 것에 대한 두려움을 통해 부정 행위를 억제할 수 있습니다.

실행 방법: 감사 요청은 신뢰할 수 있는 제3자 감사 기관이 중앙화 기관에 랜덤으로 전송할 수 있습니다. 지시를 받은 후, 중앙화 기관은 특정 시점, 즉 블록 높이 번호로 표시된 사용자 계좌 잔액(부채 증명)을 포함하는 Merkle Tree를 생성해야 합니다.

2. MPC-TSS 방안을 통해 준비금 증명 가속화

랜덤 감사 기간 동안 중앙화 기관은 짧은 시간 내에 준비금 증명을 제공해야 합니다. 이는 사용자에게 많은 체인 상 주소를 관리하는 중앙화 기관(예: 거래소)에게 큰 도전이 됩니다. 중앙화 기관이 대부분의 자산을 몇 개의 고정 주소(예: 핫 월렛 또는 콜드 월렛)에 저장할 수 있더라도, 많은 체인 상 주소에 저장된 자금의 총량은 여전히 큽니다. 감사 기간 동안 이러한 모든 주소의 자금을 소수의 공개 주소로 집계하는 것은 매우 시간이 많이 소요되는 작업입니다. 이러한 시간 차는 유용 행위가 대출이나 자금 지원을 통해 공백을 메울 수 있는 충분한 공간을 제공합니다.

중앙화 기관이 체인 상 자산을 소수의 주소로 통합하지 않고도 실제로 보유한 자산의 주소에서 직접 준비금을 증명할 수 있을까요? 한 가지 가능한 방법은 MPC 임계값 서명(MPC-TSS) 기술을 활용하는 것입니다.

요약하자면, MPC-TSS는 개인 키를 두 개 이상의 개인 키 조각으로 나누고 암호화된 후 여러 당사자가 보유하는 고급 암호화 기술입니다. 이러한 개인 키 조각의 소유자는 각자의 개인 키 조각을 교환하거나 병합하지 않고도 공동으로 거래에 서명할 수 있습니다. 이 MPC-TSS 호스팅 기술은 Cobo가 최근에 출시한 제품 중 하나입니다.

이 솔루션 하에서 제3자 감사 기관(법률 사무소, 감사 사무소, 수탁자, 수탁자 또는 심지어 규제 기관 자체일 수 있음)은 하나의 개인 키 조각을 보유하고, 중앙화 기관은 나머지 개인 키 조각을 보유합니다. "임계값"을 1보다 큰 숫자로 설정하면 모든 자산은 여전히 중앙화 기관의 통제 하에 있습니다. 또한 중앙화 기관이 감사 측과 공동 관리하는 많은 주소를 생성할 수 있도록 하려면, MPC-TSS 공동 관리 방안이 BIP32 프로토콜을 지원해야 합니다. 개인 키 조각을 하나 보유함으로써 감사 기관은 중앙화 기관의 체인 상 주소 집합을 확인하고, 지정된 블록 높이에서 중앙화 기관의 자산 규모를 통계적으로 파악할 수 있습니다.

감사

Discus Fish(신어), Lily King, Jeanette, Tavia, Linfeng, Ellaine을 포함한 Cobo 동료들이 본문 작성 중 제시한 모든 귀중한 논의와 건설적인 제안에 감사드립니다.

Cobo MPC WaaS(다자간 안전 계산 임계값 서명 기술 기반의 자가 관리/공동 관리 솔루션)에 관심이 있으시면, 고객 성공 부서에 문의해 주시기 바랍니다. 우리는 Web3 자산 관리 및 보안 배치 DeFi 솔루션에 대해 기꺼이 논의하겠습니다.

Cobo와 연락하기

Cobo는 싱가포르에 본사를 둔 세계적인 디지털 자산 관리 및 블록체인 기술 제공업체입니다. 기술 중심의 혁신 기업으로서 Cobo는 확장 가능한 인프라를 구축하여 Web 3.0 분야의 발전을 촉진하는 데 주력하고 있습니다.

2017년 설립 이후, Cobo는 전문적이고 원스톱 안전 디지털 금융 기술 서비스 플랫폼을 구축하는 데 전념해 왔으며, 500개 이상의 글로벌 기관 고객(유명 가족 사무소, 상장 회사, 최고의 헤지 펀드, 거래소 등)에게 지속적인 신뢰를 받고 있습니다. 현재 Cobo가 제공하는 제품 서비스에는 Cobo MPC WaaS(다자간 안전 계산 임계값 서명 기술 기반의 공동 관리 솔루션), Cobo Argus(팀을 위한 DeFi 체인 상 스마트 계약 다중 서명 솔루션), Cobo Custody(중앙화 안전 관리 솔루션)가 포함됩니다. 또한 Cobo는 특정 기관 및 트랙을 위해 WaaS(지갑 서비스)와 NaaS(NFT 관리 서비스)를 출시하여 기관의 자산 관리에 대한 전방위적인 요구를 충족하고 있습니다.

Cobo는 규정 준수 측면에서 SOC 2 Type I 인증, 두바이 가상 자산 규제국(VARA)의 원칙적 승인 신문을 받았으며, 미국, 홍콩 및 리투아니아의 라이센스를 보유하고 있습니다.