Proof of Reserves (PoR) - dowód rezerw czy zasłona?

Proof of Reserves (PoR) – dowód rezerw czy zasłona?

7 min
Albert Czajkowski

Giełda

Upadki kilku dużych projektów kryptowalutowych w 2022 roku wywołały niemałą panikę wśród inwestorów i ponownie rozbudziły dyskusję o bezpieczeństwie sektora. Chcąc uspokoić klientów i zatrzymać masowy odpływ środków, giełdy kryptowalut zaczęły powszechnie wprowadzać mechanizm mający potwierdzać ich wypłacalność. Właśnie w ten sposób spopularyzował się „dowód rezerw giełd kryptowalutowych”, czy też Proof of Reserve (PoR).


Spis treści:


Czym jest (i czym nie jest) Proof of Reserve?

W tradycyjnych finansach, „rezerwy” zazwyczaj odnoszą się do zapasowych aktywów posiadanych przez firmę, które mają zagwarantować pełne pokrycie z depozytami klientów. Dzięki temu, w sytuacji, w której doszłoby do tak zwanego „biegu na bank” (z ang. bank runu), czyli zmasowanej wypłaty pieniędzy przez konsumentów, dany biznes nie tylko będzie w stanie pokryć swoje zobowiązania wobec nich, ale również utrzymać płynność.

Proof of Reserves (PoR) to termin opisujący kontrolę środków należących do giełdy kryptowalutowej w celu sprawdzenia, czy posiada wystarczającą ilość rezerw, aby pokryć salda swoich klientów. Podobnie jak w przypadku audytów finansowych tradycyjnych firm, w rolę audytora powinna wcielić się niezależna osoba (lub instytucja) spoza giełdy.

Audytor sprawdza, czy aktywa on-chain przechowywane przez firmę w co najmniej stu procentach pokrywają się z aktywami zdeponowanymi na rachunkach klientów. Ma to zagwarantować przejrzystość działalności giełdy i dać klientom poczucie, że ich środki są bezpieczne.

Chociaż istnieje wiele sposobów, w jaki można przeprowadzić Proof of Reserve, branża blockchain opracowała sposób zapisu takich dowodów w ramach łańcucha, ograniczony do minimum zaufania i możliwy do zweryfikowania przez każdego. W efekcie giełda może przedstawić raport o aktywach znajdujących się w swojej pieczy i dopasować te aktywa do indywidualnych kont użytkowników, a także przechowywać część tych informacji on-chain.

W ten sposób indywidualni konsumenci lub dowolna zainteresowana strona trzecia mogą zweryfikować, że dana giełda faktycznie posiada aktywa, które odpowiadają określonym saldom kont, bez ujawniania tożsamości użytkowników.

Merkle Tree i jego znaczenie dla PoR

Istotną rolę w Proof of Reserve odgrywa Merkle Tree, które po polsku określane jest jako drzewo hasz, drzewo skrótów lub po prostu drzewo Merkle. Jest to specyficzny rodzaj struktury danych w formie drzewka wykorzystywany do weryfikowania integralności przechowywanych informacji.

Pojedynczy zestaw danych (hasz), zwany korzeniem Merkle, działa jak kryptograficzna pieczęć, która „podsumowuje” wszystkie wprowadzone informacje. Dodatkowo, drzewa Merkle dają użytkownikom możliwość sprawdzenia, jaka konkretnie zawartość została umieszczona w zestawie danych.

Te szczególne właściwości drzew hasz wykorzystywane są w ramach Proof of Reserves, aby zweryfikować, czy poszczególne konta użytkowników są zawarte w raporcie aktywów kontrolowanym przez audytora.

Przykład Merkle Tree
Przykład Merkle Tree. Liście Merkle (na dole drzewa) są wielokrotnie haszowane razem, aby ostatecznie utworzyć pojedynczy korzeń Merkle. Źródło: trustexplorer.io

Drzewa Merkle są wykorzystywane przez sieci Bitcoin, Ethereum i wiele innych protokołów blockchain jako forma cyfrowego „odcisku palca” lub zapewnienia jednego unikalnego hasza dla wszystkich transakcji zawartych w danym bloku. Audytorzy używają bardzo podobnych strategii w ramach Proof of Reserves, aby stworzyć pojedynczy unikalny hasz dla wszystkich kont użytkowników w ramach bazy danych handlowych giełdy kryptowalutowej.

Proof of Reserve to „migawka” a nie pełny audyt

Po upadku giełdy kryptowalutowej FTX należącej do Sama Bankmana-Frieda (SBF), która była jedną z największych na świecie, klienci zaczęli „uciekać” ze swoimi środkami z innych platform zaniepokojeni możliwością utraty środków, jeżeli dojdzie do mocniejszej destabilizacji całej branży.

Giełdy chcąc zabezpieczyć się przed masowym odpływem aktywów i potencjalnie przegraną walką z portfelami typu self-custody (czyli samodzielnie zarządzanymi) zaczęły publikować własne Proof of Reserves mające zapewnić użytkowników, że „wszystko jest w porządku”.

Należy jednak pamiętać, że PoR może nie pokazać prawdziwego obrazu kondycji finansowej giełdy, ponieważ prezentuje jedynie aktywa firmy, a nie jej pasywa. Co więcej, jest tylko „migawką”, wycinkiem określonego punktu w czasie, który ma pokazać, że rezerwy pokrywają się z depozytami. Może się jednak okazać, że przed wykonaniem tej „migawki” giełda pożyczyła środki, aby uzupełnić chwilowo rezerwy, albo że te składają się głównie z autorskich, emitowanych przez platformę tokenów (co było między innymi problemem giełdy FTX).

Proof of Reserve nie jest całkowicie godny zaufania, jednak nadal warto przeprowadzać PoR, z kilku powodów. Okresowe poświadczenie PoR pokazuje użytkownikom końcowym, że wszystko jest w porządku. Dodatkowo, jest to silny środek samoregulacyjny. Gdyby wszystkie giełdy przyjęły PoR, organy prawne mogłyby być skłonne do przyjęcia łagodniejszych regulacji w przyszłości. Znacznie lepiej jest działać we względnej wolności z dobrowolnymi środkami samoregulacyjnymi, niż cierpieć z powodu uciążliwych narzutów regulacyjnych. PoR pomaga zabezpieczyć się przed nieuczciwymi platformami, ponieważ praktycznie uniemożliwia ukrycie rezerw cząstkowych.

Doświadczenie pokazuje natomiast, że nawet najwięksi niewłaściwe podchodzili do kwestii Proof of Reserve i zamiast odbudować zaufanie klientów, ponownie je podburzyli. Mazars Group, wywodząca się z Paryża firma księgowa, wykonywała audyt PoR kryptowalutowego giganta Binance oraz innych dużych graczy w branży. W związku z kontrowersjami wokół jakości tych raportów, postanowiła jednak wstrzymać dotychczasową pracę na rzecz klientów z branży cyfrowych aktywów oraz usunęła opublikowane potwierdzenia.

Jak donosił Bloomberg, PoR przeprowadzane przez Mazars były zbyt ogólnikowe i spotkały się z krytyką klientów oraz inwestorów. Firma znalazła się pod ostrzałem medialnym w związku z czym wycofała się przygotowywania dalszych raportów. Zanim to się stało przygotowała jednak dowody rezerw nie tylko dla Binance, ale również giełd Crypto.com, Luno, czy KuCoin. Raporty te nie były nadzorowane przez niezależnego audytora i nie dawały użytkownikom możliwości samodzielnej weryfikacji.

Jak powinien wyglądać „porządny” Proof of Reserve?

Według Nica Cartera, eksperta kryptowalutowego w dziedzinie dowodu rezerw, możemy wymienić kilka giełd, które w ostatnim czasie przeprowadziły naprawdę „porządne” PoR. Wśród nich znalazły się giełdy BitMEX, Kraken, Deribit oraz Coinfloor (pod linkami kryją się odnośniki do ich stron Proof of Reserves).

Jakie cechy powinien posiadać dobrze wykonany i jakościowy PoR? Przede wszystkim musi uczestniczyć w nim zewnętrzny, niezależny audytor, użytkownicy powinni mieć możliwość samodzielnego weryfikowania zabezpieczenia swoich środków, „migawki” on-chain powinny być wykonywane regularnie, a dowód rezerw powinien dotyczyć wszystkich najważniejszych aktywów znajdujących się na giełdzie.

Na poniższym screenie zaprezentowano wyniki PoR giełdy kryptowalutowej BitMEX:

dowód rezerw giełdy bitmex

Wyniki udostępniono również w formie nagrania wideo.

Proof of Reserves polega na udowodnieniu kontroli nad środkami on-chain w momencie przeprowadzania audytu, ale nie może udowodnić wyłącznego posiadania kluczy prywatnych, które teoretycznie mogły zostać zduplikowane przez hakerów. Regularne przeprowadzenie PoR z całą pewnością zwiększa jednak transparentność giełdy.

Jak sprawdzić czy moje aktywa zostały uwzględnione w Merkle Tree?

Tak jak wspomniano powyżej niektóre giełdy pozwalają użytkownikom samodzielnie weryfikować skuteczność przeprowadzonego audytu. Giełda Binance zapewnia klientom możliwość zweryfikowania czy audyt się odbył oraz pobrania Merkle Tree. Szczegóły są zaprezentowane między innymi w tym miejscu.

W związku z dotychczasowymi „oskarżeniami’ giełdy wprowadziły również możliwość zweryfikowania danych znajdujących się w Merkle Tree poprzez zewnętrzne platformy audytorów. Taką funkcję dodał m.in. Kraken (szczegóły). Jeżeli posiadasz konto na innej z giełd kryptowalutowych, informacji o Proof of Reserves szukaj w jej zasobach lub bezpośrednio w biurze obsługi klienta.

Poniżej w skrócie opisano proces weryfikacji drzewa Merkle na giełdzie Kraken: 

  1. Skopiuj Record ID odpowiadający Twojemu kontu i określonemu audytowi (informacje są dostępne z poziomu ustawień konta).
  2. Odwiedź stronę internetową audytora strony trzeciej odpowiedzialnego za audyt Proof of Reserves.
  3. Wprowadź swój Record ID w portalu audytora strony trzeciej. Strona internetowa audytora użyje tego identyfikatora, aby znaleźć zapis kryptowaluty przechowywanej na Twoim koncie on-chain w momencie przeprowadzania audytu.
  4. Zweryfikuj swoje salda.

Instrukcja jest dostępna także w formie nagrania.

proof of reserves giełdy kryptowalut kraken

Bardziej zaawansowani użytkownicy mogą również „ręcznie” odtworzyć swój konkretny zestaw danych w Merkle Tree i sprawdzić swoje salda używając oryginalnego hasza, a nie ID nadanego przez giełdę.

Lista giełd pod względem zweryfikowanych rezerw dostępna jest między innymi na stronie cer.live. Informacje o przeprowadzonych PoR znaleźć można także w witrynie Nica Cartera. Poniżej przedstawiamy opracowanie, które wykonał:

Ściana sław Nica Cartera – które giełdy są najbardziej wiarygodne

Najlepsze audyty Proof of Reserves:

  • BitMEX – samoocena, walidacja użytkownika z podejściem Merkle, BTC, aktualizowany co dwa tygodnie (listopad 2022);
  • Kraken – wspomagany przez audytora, walidacja użytkownika z podejściem merkle, półroczny raport, wiele aktywów – raport Armanino AUP (czerwiec 2022);
  • Deribit – samoocena, walidacja użytkownika z podejściem Merkle, uwzględnia BTC, ETH, ETHW, SOL, USDC, aktualizowany codziennie (grudzień 2022);
  • Coinfloor – samoocena, walidacja użytkownika z podejściem Merkle, aktualizowany co miesiąc (sierpień 2021).

Dobrej jakości PoR:

  • OKX – samoocena, walidacja użytkownika z podejściem Merkle, w toku, obejmuje BTC ETH & USDT (listopad 2022 );
  • KuCoin – z pomocą audytora, walidacja użytkownika z podejściem merkle, zawiera informacje o BTC, ETH, USDC, USDT – raport Mazars AUP (listopad 2022);
  • Gate.io – z pomocą audytora, walidacja użytkownika z podejściem Merkle, punkt w czasie, BTC i ETH – raport Armanino AUP ) (październik/2022).

Inne atesty PoR (brak nadzoru audytora, możliwości weryfikacji przez użytkownika lub z innymi wadami):

  • Binance – samoocena, weryfikacja użytkowników za pomocą Merkle, tylko BTC – raport bezpieczeństwa Mysten Labs, zarchiwizowany raport Mazars z 7 grudnia AUP, później usunięty (listopad 2022);
  • Crypto.com – nadzorowany przez audytorów, weryfikacja użytkowników z Merkle, wiele aktywów (ale nie wszystkie) – raport Mazars AUP (grudzień 2022);
  • Bybit – samoocena, walidacja użytkownika za pomocą Merkle, BTC, ETH, USDC, USDT, migawka (grudzień 2022);
  • Luno – wsparcie firmy audytorskiej, brak walidacji użytkowników, wiele aktywów, kwartalnie/na bieżąco – raport Mazars AUP (grudzień 2022);
  • HBTC – samoocena, walidacja użytkownika z podejściem Merkle, stary raport (kwiecień 2021);
  • Revix – z pomocą firmy audytorskiej, bez weryfikacji użytkownika, stary raport (III kw. 2022);
  • Bitbuy – wsparcie firmy kryminalistycznej, brak weryfikacji użytkownika, stary rapor;
  • Shakepay – wsparcie firmy kryminalistycznej, brak weryfikacji użytkownika, stary raport.

Nieformalne potwierdzenia rezerw (bez kryptograficznego dowodu posiadanych aktywów):

reklama
reklama

Dodaj komentarz

Ostrzeżenie o ryzyku Kryptowaluty oraz produkty lewarowe to bardzo ryzykowne istrumenty finansowe, mogące spowodować szybką utratę kapitału.

Materiały opublikowane na tej stronie mają jedynie cel informacyjny i nie należy ich traktować jako porady inwestycyjnej (rekomendacji) w rozumieniu przepisów ustawy z dnia 29 lipca 2005r. o obrocie instrumentami finansowymi. Nie są również doradztwem prawnym ani finansowym. Opracowania zamieszczone w serwisie Cryps.pl stanowią wyłącznie wyraz poglądów redakcji i użytkowników serwisu i nie powinny być interpretowane w inny sposób.

Niektóre artykuły opatrzone są odnośnikami do innych stron. Służy to uzupełnieniu przedstawionych informacji.
Niektóre jednak linki mają charakter afiliacyjny: prowadzą do oficjalnych stron producentów, na których można kupić opisywany produkt. Jeśli użytkownik dokona transakcji po kliknięciu w link, nasz serwis pobiera z tego tytułu prowizję. Nie wpływa to na finalną cenę produktu, a w niektórych przypadkach ją obniża. Portal CrypS.pl nie ponosi odpowiedzialności za treści, które znajdują się na podlinkowanych stronach.