Cryptoactifs : les « audits de preuve de réserve » en question

La réponse des plateformes au scandale FTX

Novembre 2022. FTX, une des principales plateformes d'échange de cryptoactifs du marché, fait faillite. Sur le 9 milliards de dollars déposés par les clients de la plateforme, près de 7,7 milliards manquent alors à l'appel^[1]. Dans l'écosystème des cryptoactifs, c'est la panique, et le début d'une crise de confiance : comment être certain que les grands acteurs du marché détiennent réellement les fonds qui leur ont été confiés ?

Dans les semaines qui suivent, plusieurs plateformes d'échange publient des audits de preuve de réserve (PoR) pour rassurer leurs clients. La plupart du temps, ces documents sont établis par des cabinets d'audit.

C'est notamment le cas de Binance, qui confie alors cette mission au prestigieux cabinet Mazars, et publie dans la foulée un rapport qui se veut rassurant. Pourtant, quelques semaines plus tard, Mazars annonce l'arrêt des audits de preuve de réserves en matière de crypto-monnaies, et retire le rapport Binance de son site internet. Déjà, les risques liés à une mauvaise interprétation de ce type de rapport sont soulignés.

Aucune norme spécifique pour l'établissement de ce rapport

Le communiqué du 8 mars 2023 a justement pour objectif de clarifier les choses. L'Office of the Investor Advocate du PCAOB rappelle tout d'abord le contexte de ce type de prestation :

« Les missions de PoR ne sont pas des audits et [...] par conséquent, les rapports afférents ne fournissent pas d'assurance significative aux investisseurs ou au public ».

Ces prestations n'étant pas encadrées sur le plan réglementaire, elles peuvent en effet être réalisées par tout type de prestataire, cabinet d'audit ou non, sans garantie d'homogénéité des méthodes et donc des résultats.

Par ailleurs, même réalisé par un cabinet d'audit, l'audit de preuve de réserve ne fait pas l'objet de normes spécifiques. Le terme « audit » peut donc être trompeur : dans le référentiel français, on parlerait de procédures convenues, définies librement entre l'entreprise et le cabinet.

Une validation à un instant donné, sans garantie de propriété ou de pérennité

Le régulateur américain met également en évidence plusieurs risques liés à la méthode même des audits de preuve de réserve :

• généralement, le passif de l'entité cryptographique concernée n'entre pas dans le périmètre de la mission, et ne fait donc l'objet d'aucune vérification ;
• il en est de même des droits et obligations des détenteurs d'actifs numériques : en pratique, rien ne dit qu'une plateforme n'a pas emprunté des cryptoactifs au moment de l'intervention de l'auditeur ;
• les rapports de PoR ne fournissent aucune assurance quant à l'efficacité des contrôles internes ou de la gouvernance de l'entité cryptographique.

En d'autres termes, l'existence d'un actif à un instant T ne donne aucune indication sur la propriété de cet actif, ni sur l'existence de dettes, équivalentes ou supérieures. En décembre 2022, Fabrice Heuvrard, expert-comptable et commissaire aux comptes le rappelait déjà :

« La preuve de réserve ne fait cependant pas tout ! Elle permet en effet de valider les actifs, mais pas les dettes, n'apportant ainsi aucune garantie d'ensemble sur la solidité financière de l'entité ».

La situation n'est donc pas nouvelle, mais cette communication publiée sur le site du régulateur américain devrait sans doute inciter les auditeurs à développer des référentiels clairs et partagés, gages de confiance pour tout l'écosystème.