Don’t Trust, Verify.
在黑天鹅出现的时候,各大中心化交易所纷纷抢着晒PoR(Proof of Reserves,简称PoR)报告。PoR是一种加密验证机制,用于证明交易所在链上持有的资产足以 1:1 覆盖用户资产总额,既保障透明度,又保护用户隐私,主要是为了证明自己没有挪用用户资产以及承兑能力。
交易所PoR验证方式与传统金融的区别是:PoR基于密码学生成可公开验证的证明,支持用户自主验证;而传统审计依赖第三方抽样和报告,用户只能被动信任,透明度相对有限。
按理说,PoR是为了让我们这些用户安心,但目前只有以OKX为代表的几个头部交易所还在按月发布PoR,但很多已经处于“划水”或者“停滞”状态。但即使有了PoR报告,也不能保证我们存在交易所的资产万无一失了。换句话说,晒出PoR报告不等于绝对安全,我们还要读懂PoR背后,每个交易所具体做得怎么样,这反映了不同交易所的安全水平。
区块链专家Nic Carter曾评价OKX代表来主流交易所PoR质量的最高水平。接下来,我们将以OKX为样本,从更深的角度聊聊PoR:不再只是追问“有没有”,而是弄明白它到底做得如何,以及OKX安全处于什么水平?
从这三个步骤开始
不少朋友打开PoR报告,第一眼看到的就是那一排排表格或者数据:BTC储备率104%、ETH储备率101%、USDT储备率103%……眼看都大于100%,下意识就放心了:这个平台应该还挺靠谱。但别急,其实PoR报告里隐藏的门道还挺多,光看储备率远远不够。
要想快速抓住PoR的重点和风险,可以按以下三个主要步骤和思路来看。
第一步,先看总览:打开报告,先找到用户总资产、平台总负债和储备金率。不同的交易所叫法可能不同,比如OKX用的是账户资产、以及OKX钱包资产,但本质都是指用户与交易所的资产与负债。不要只关注这些数字的大小,而是看储备金率是否等于或者大于100%。例如,OKX在4月发布的PoR中,BTC储备率是104%,不仅能满足用户日常提款需求,还预留了冗余,说明抗风险能力更强。
第二步,查币种细节:不是所有币种都一样“稳”。首先要查看是否包含主流币种(BTC、ETH、USDT、USDC等),这些币种通常占据用户资产的大头,是交易所流动性、兑付能力和风险防控水平的核心指标。其次,你得点开每个币种的明细表,看交易所总资产和用户总资产是否匹配。比如钱包里要是有1万枚USDT,用户资产总额是9千枚,那就是没问题的。但要是反过来,就要注意是否发生了异常提现或准备率下降。
第三步,识别常见套路:为了晒安全,通过关联地址自导自演一波“资金调度”,等PoR公布之后再转回去;创建大量虚假的“负债账户”降低平台负债,从而证明某一个时刻的偿付能力,下一期又打回原形等等,OKX采用zk-STARK技术,并将代码全球开源,一方面有效防止了虚假的“负债账户”套路,另外用户还能自己进行验证,来防范这种“PoR报告P图”。
如果你没有时间细看所有数据,建议重点盯三个指标:
储备率是否持续稳定 >100%;
是否支持用户自验证;
报告是否定期更新,并涵盖主流资产及质押资产。
我们要记住:PoR数据好看不是重点,关键是读懂交易所的偿付与安全能力。
重点盯这六个数据
第一,看懂最核心的安全数据:PoR是不是超过100%。这就像是你把钱存在银行,最基本的要求当然是银行得有足够的钱还你。这个逻辑在加密交易所一样成立。我们要看交易所的链上资产能不能1:1覆盖用户的账户资产,这个比值就是所谓的“储备金率”(PoR = 平台资产 / 用户资产 × 100%)。
等于100%:说明平台刚好持有足够资产覆盖用户资产;高于100%:说明平台偿付资金更充分,有一定的抗风险能力。但这里也要注意,储备金率越大不等于交易所越安全,两者不能直接划等号。比如,某个币种的储备金率突然大增,有可能是平台近期活动导致的;低于100%:这就是红灯警告了!说明平台持有的该币种资产不足以偿付所有用户。持续低于 100%,可能意味着平台发生挤兑,甚至故意遮掩流动性问题。但也正因如此,很多平台在这种时候可能出现报告中断,这本身就是风险信号。
第二,PoR 覆盖了哪些币:是不是把主流币都算上。毕竟,我们的资产不是只压在一个币种里,BTC、ETH、USDT、USDC这些主流币,一般占了用户仓位的八成甚至九成,PoR所涵盖币种的数量是评估交易所透明度和资产管理能力的重要指标。以OKX为例,从最早3个币,到现在公开了22个币的PoR,基本把用户主要资产都摆上台面了。光是BTC、ETH、USDT、USDC四个币,就占了平台资产的66%以上,PoR 公布的22个币占平台资产的90%以上。也就是说,只看这四个币,基本了解选择的平台安全与否。
第三,储备金干净度:即非平台币资产占总储备的比例,而非靠自家平台币“充数”。干净度是衡量交易所资产质量的重要维度。直接反映了储备的真实价值、流动性和抗风险能力——唯有在不依赖自家代币的前提下仍能保持充足储备,才能证明交易所具备真正的稳健性。但在评估交易所的储备金质量时,我们可以将“干净度”分为两类来看: 按币种单独证明——交易所对每一种主要币种(如 BTC、ETH、USDT、USDC 等)分别发布 PoR 报告,只要单个币种的储备率均大于 100%,就说明该币种有承兑能力。此时是否纳入自家平台币并不会影响对各主流币种偿付能力的判断。
按总资产整体证明——交易所将所有资产(包括平台币在内)合并后给出一个总的储备率。这种方式下,若平台币占比较高,一旦其价格或流动性受挫,就可能导致整体储备出现不能兑付的风险,因此必须特别关注非平台币资产在总资产中的占比,也就是“干净度”。目前,大多数交易所都将平台币纳入了PoR中。以 OKX 为例,虽然其对单个主流币种的 PoR 均保持在 100% 以上,不受 OKB 价格波动影响;但若按照最新一期整体资产方式计算,其非平台币“干净度”约为 70%。这意味着仅依靠 BTC、ETH、USDT、USDC 等流动性最强的主流资产,就能支撑起超过 70% 的总用户负债,真正实现了高透明度与抗风险能力。
第四,还有一点经常被忽视:BTC 和 ETH 等主流币储备量的变化趋势。大概率意味着用户或机构看好平台安全与流动性。近期, OKX的ETH、BTC等主流币储备量呈现攀升趋势,比如,截至2025年4月7日,OKX PoR报告显示账户中 ETH 已从2024年10月8日的 1,556,932 枚增至 1,770,686 枚,涨幅约 13.7%;BTC 从2025年1月10日的 126,082 枚升至 133,151 枚,涨幅约 5.6%,间接反映了用户对平台安全的信心。
第五,Top10 主流币的占比:别让冷门币撑大局。Top 10主流币占比越高,代表PoR越健康,因为这类资产流动性强、稳定性高,更能在极端情况下支撑平台的资金安全。据各家PoR报告显示,当前主流交易所的储备结构中,市值排名前10的主流币种占比约在80%以上,冷门币占比控制在10%–20%之间,整体资产结构健康,符合用户对高偿付能力的预期。比如截至2025年4月7日,OKX Top10 主流币总价值在PoR中占比约88.8% 。
第六,PoR报告的发布频率也很重要:是不是“偶尔晒一下”。PoR报告通常反映的是某一特定时间点的资产状况。PoR发布频率越高,交易所发生短期流动性或安全隐患时就越难被掩盖。OKX自2022年底首发PoR后,始终坚持每月发布,截至2025年4月已连续发布30期。与此同时,每期报告还会由区块链安全机构Hacken审计并验证。这也说明了为什么OKX等头部平台一再强调“按月披露”——只有高频、可靠的审计更新才能真正增强用户信心,维护平台诚信。
在评估交易所的资产安全性时,我们必须进行数据联动,不能仅依赖平台自身发布的 PoR报告,可以结合多方数据源进行交叉验证,以形成更全面、客观的判断。例如,DeFiLlama 的 CEX Transparency 模块提供了各大中心化交易所的链上资产储备总览,可以作为重要的外部参考。而在Nansen 的 “CEX Token Flow” 板块中,则可以实时查看包括 Coinbase、OKX等交易所在内的资金流入/流出情况,捕捉链上资金动态。
此前就曾出现过 OKX 在 DeFiLlama 上资产数据短时异常的情况,事后查明是由于地址升级导致第三方数据抓取滞后。这类事件提醒我们,第三方平台虽然独立,但也受限于链上地址识别的及时性和完整性。此外,一些中小交易所的 PoR 数据与第三方链上监测平台的数据差距明显,这种差异如果无法被合理解释,就需要进一步审慎调查其背后原因。
PoR 数据不能孤立解读,更不能一看到“100%”等数字就掉以轻心。唯有结合链上追踪、第三方平台校验和交易所本身的公开机制,才能对资产安全性做出更科学的判断。
小工具,即可让用户验证交易所数据
平台自己“晒出“了PoR,但并不代表其绝对可信,在面临“你把钱放进去了,它是不是真的在?”这个终极问题时候,更需要用户可以进行验证。以OKX提供的验证逻辑为例,只需要证明两点:一是,证明用户资产总和(账户资产)正确;二是,平台链上资产总额(钱包资产)正确,最后得出“储备金率”。
例如,有两个用户将资产存入交易所,一个存入100U,另外一个存入200U,平台的总负债为300U。交易所的PoR就需要证明两个事情:所有(两个)用户的存款总额是300U,以及交易所钱包确实有300U。
第一步,用户总存款验证,OKX所使用的是名为“zk-STARK”的零知识证明算法,来证明并验证交易所持有的所有OKX账户资产。OKX 会对所有用户账户做“快照”,并按照“zk-STARK”的算法进行“约束”,第一个是“余额总和约束”,要求资产总量等于账户资产余额总和;第二个是“非负约束”,不存在掺入负资产账户虚增账面情况;第三个是“包含性约束”,要求没有任何账户被遗漏在外。
第二步,交易所钱包资产验证。OKX公开了一组钱包地址,并用私钥签名的一条消息“I am an OKX address”,并对这些地址进行所有权证明。然后任何人都可以在区块链浏览器上查到这些地址的余额。把这些链上余额相加,就得到了 OKX 持有的真实资产总额。
无论是以上三项约束、还是对交易所钱包的资产验证,OKX不仅提供了详细的用户自验证教程,用户可以随时进行验证(https://www.okx.com/zh-hans/proof-of-reserves)更是将PoR代码进行开源,以供技术社区验证和使用(https://github.com/okx/proof-of-reserves/releases/tag/v3.1.4)。
PoR方案本身仍存在迭代空间
OKX一直在探索更安全的底层技术支撑,以防PoR报告数据被篡改或伪造。OKX 自 2022 年 11 月推出基于标准 Merkle Tree 的 PoR 以来,2023 年 3 月升级为全览 Merkle Tree V2,随后在 2023 年 4 月首创性地引入自研 zk-STARK 零知识证明,将总和约束、包含性与非负约束融合,使验证过程更轻量且开源。因此,在评估任何交易所的 PoR 报告时,除关注储备率与用户自验证外,还应综合考量其底层技术实现与演进路径,以防仅凭数据指标而忽视潜在的篡改或审计漏洞。
为什么要升级为zk-STARK技术?传统默克尔树证明方案存在漏洞,导致CEX 有作恶的可能性。 默克尔树是一种常见的数据结构,当它用于储备金证明时,它通过将每个账户的余额进行哈希处理并组织成树状结构,用于验证某个账户余额是否包含在交易所的负债总额中。但是,传统默克尔树有一个 关键缺陷:它无法防止负值节点。如果中心化交易所(CEX)想要作恶,可以通过创建假账户,并将这些账户的余额设置为负值,从而让储备看起来匹配负债,即便实际上不是。
zk-STARK 使用先进的加密技术,生成的证明是数学上可验证的,且任何人都可以验证其正确性。最重要的是,zk-STARK 不需要可信设置。可信设置是指在某些加密系统(比如 zk-SNARK)中,需要一个特殊的过程来生成初始秘密参数,并且可信设置完成后需要将所有的初始秘密参数销毁。如果这个初始秘密参数被泄露或被操控,整个系统的安全性就可能被破坏。
但zk-STARK 避免了这个风险,它基于透明的加密技术,整个过程不依赖任何秘密信息或外部信任,完全去中心化。用户无需担心平台暗箱操作或设置时的潜在漏洞。zk-STARK 提供了一个真正“无需信任”的安全保证,是目前PoR中最安全的方案。
zk-STARK 是如何解决这个问题的? zk-STARK 提供了数学上的强大保证,可以验证每个账户的余额是否真实且合法。没有隐藏的负值节点,zk-STARK 确保所有账户的净余额都大于等于零。此外,无法操控储备金总量,CEX 无法通过人为篡改数据伪造储备金匹配的假象。zk-STARK 彻底消除了传统储备金证明可能存在的漏洞,真正保证了用户资金的安全,避免交易所恶意欺骗用户。
OKX持续领先的公信力与透明度
除了采用先进的 zk-STARK 零知识证明技术,OKX 还引入第三方独立审计机构HACKEN进行认证,为用户提供额外的信任保障。当前,Hacken 的审计团队每月对 OKX 的储备金进行验证,确保其链上资产完全覆盖用户负债,即储备金率处于100%或者更高水平,并会公开审计报告,用户可以随时查阅。
PoR只是CEX安全性的一个切面,无法全面防范潜在风险。用户在选择CEX时,既要依赖PoR提供的链上资产验证能力,也需要从治理结构、资金流动性、技术实力等多方面综合考量。OKX 正是凭借持续稳定的PoR 发布节奏、行业领先的 zk-STARK 创新技术和第三方独立审计协作,构建起更可信的安全防线,真正做到了——让透明可见、用户可验。
OKX以持续领先的公信力与透明度,正获得全球更多广泛用户的信任和选择。
Don’t Trust, Verify.
