Si hay una empresa de intercambio de criptomonedas que debe entender el valor de una buena auditoría es Kraken. La empresa, con sede en San Francisco, se lanzó en 2011 como un antídoto contra las malas prácticas de seguridad y gestión de tesorería en Mt. Gox, un exchange con sede en Japón (ahora desaparecido) que controlaba el 80% de todas las transacciones de bitcoin en su apogeo, antes de perder 850.000 en bitcoin. Jesse Powell, CEO de Kraken fue uno de las personas más involucradas en el rescate de Mt. Gox cuando se encontraba en crisis.
Él cree que si las auditorías criptográficas hubieran existido en ese entonces, las alertas sobre un posible error en los datos y en las cantidades (bitcoin) hubieran disminuido los daños. Quizás esa falta de auditorias afectó a las empresas de intercambio de criptomonedas que actualmente se encuentran en bancarrota, como Celsius y Voyager.
“Los problemas más sonados dentro de la comunidad exchange son los de las compañías Mount Gox o Quadriga. Nadie se percató de los errores internos, y cuando los operadores se dieron cuenta e intentaron resolver los problemas negociando para volver a las reservas completas o la rentabilidad, todo empeoró”.
Powell, un verdadero creyente de las criptomonedas, sabía que la confianza sería necesaria para que cualquier intercambio o negocio de su compañía tuviera éxito a largo plazo. Un paso para ganarse esa confianza es realizar una especie de auditorías periódicas de las reservas de bitcoin. Después de todo, cualquiera puede consultar el saldo de una cuenta en Kraken, Coinbase, Binance o incluso en una cuenta de JPMorgan. Pero, ¿cómo se puede estar seguro de que los fondos están realmente allí? En el caso de bancos tradicionales como JPMorgan existe la tranquilidad de que los depósitos están asegurados hasta 250.000 dólares en caso de insolvencia. No existe tal protección en las criptos.
Es por esa razón que Kraken acaba de lanzar su tercera certificación de prueba de reservas. Se trata de una instantánea o snapshot (una copia completa y utilizable de un conjunto de datos) que especifica las reservas en la que los clientes pueden verificar que sus saldos existen en el intercambio de criptomonedas. El ejercicio, completado por Armanino LLP, una de las 25 principales firmas contables del mundo, cubrió el 63 % de los saldos totales en poder de Kraken. Los activos cubiertos fueron Bitcoin, Ethereum, Tether, USDcoin, Ripple, Cardano y Polkadot.
Además, la certificación utilizó una herramienta criptográfica llamada Merkle Trees, que es una estructura de datos que vincula criptográficamente todas las piezas de información relevantes, en este caso, los saldos de los clientes. El beneficio de adoptar esta herramienta es que los clientes pueden estar seguros que sus cuentas están incluidas en el saldo total. En teoría, esto debería evitar que la empresa publique un saldo incorrecto.
Pero en este procedimiento hay un pequeño problema. Primero, porque se trata de una atestación (persona que testifica o afirma algo) y no de una auditoría completa en sí, esta última proporcionaría información adicional, como pasivos, para ver si se gravaron reservas.
Kraken ofrece lo que llama un «producto de participación fuera de la cadena» para tokens como bitcoin. Este es un mecanismo para que los clientes obtengan un rendimiento adicional en sus tenencias comprometiéndolos con un grupo de margen mediante el cual otros comerciantes pueden tomar prestados tokens para aprovechar sus apuesto. No obstante, siempre existe un grado de riesgo con cualquier tipo de préstamo.
Debido a que este procedimiento solo ofrece una instantánea de los saldos en un día determinado, también existe la posibilidad de que un mal operador pueda manipular los saldos para que parezcan solventes. “Una de las críticas de la primera auditoría que hicimos, en 2014, fue que los resultados, en realidad, eran ambiguos. Los clientes no saben si acabamos de pedir prestados 100.000 bitcoins a alguno de nuestros inversores para manipular la instantánea”.
Esta debilidad sigue siendo lo más importante para Powell, que ha expresado su interés en realizar atestaciones más regulares, que sirvan (incluso si no se hacen auditorias), a reducir el riesgo de fraude.
Otras dudas sobre la gestión de Kraken es sobre porqué eligieron a una firma de contabilidad que, si bien se encuentra entre las 25 más grandes, no es una de las cuatro grandes, ni siquiera una de las 10 principales. Powell señala que esto no fue por falta por desconocimiento. “Pedimos a todas las grandes firmas de contabilidad que trataran de realizar estas auditorías”. Eligieron a Armanino.
Este no es un problema exclusivo de Kraken. Tether, una compañía encargada de emitir y administrar tokens, ha tenido que depender de una de las 12 principales firmas de contabilidad, MHA Holdings, para producir sus certificados de reserva. Justo hoy, la firma anunció que ahora trabajará con una de las cinco principales firmas, BDO, con sede en Italia.
La pregunta sigue siendo si Kraken realizará una auditoría completa y cuándo será. Powell parece abierto a la idea. También queda la duda de si Kraken encontrará un socio dispuesto a asumir el trabajo. Después de todo, siempre existe un grado de riesgo para las firmas de contabilidad que asumen un proyecto novedoso en una industria como las criptos.
Si uno firma una auditoría que resulta ser incorrecta, las repercusiones podrían ser graves. “Existe el riesgo de que si te equivocas como auditor y apruebas algo que resulta ser falso, toda tu reputación se quemará y nadie volverá a confiar en ti. Esta no es una analogía directa, pero nadie quiere ser el próximo Arthur Andersen (la ahora desaparecida firma de contabilidad con sede en Chicago que anteriormente había auditado a Enron)”.