Proof of Reserves (PoR) là quy trình cho phép một nền tảng lưu ký crypto chứng minh rằng tài sản trong phạm vi báo cáo đủ để đối chiếu với số dư khách hàng được ghi nhận tại một thời điểm. Một quy trình có ích không chỉ đưa ra danh sách ví: nó cần mô tả cả tài sản, nghĩa vụ, phạm vi, thời điểm chụp và cách người dùng tự xác minh.
PoR tốt trả lời hai vế: sàn kiểm soát tài sản nào và sàn đang ghi nợ khách hàng bao nhiêu trong cùng phạm vi.
PoR không phải giấy bảo hành cho sàn. Nó là một lớp minh bạch cần được đọc cùng điều khoản pháp nhân, lịch sử nạp rút, kiểm toán tài chính và cách quản lý rủi ro.
Tài sản và nghĩa vụ trong PoR
Tài sản dự trữ thường là coin hoặc token nằm trong các địa chỉ on-chain mà nền tảng chứng minh quyền kiểm soát. Nghĩa vụ là số dư nền tảng ghi nhận đang nợ khách hàng trong phạm vi kiểm tra.
Nếu một sàn chỉ công khai 1 tỷ USD tài sản nhưng không công bố tổng nghĩa vụ tương ứng, người dùng chưa biết 1 tỷ USD đó đang bảo đảm cho 500 triệu hay 2 tỷ USD số dư khách hàng. Vì vậy, “proof of assets” không đồng nghĩa một quy trình proof of reserves đầy đủ.
Các câu cần hỏi:
- Báo cáo gồm những tài sản nào?
- Tài khoản spot, margin, futures, staking hoặc sản phẩm earn có nằm trong phạm vi không?
- Nghĩa vụ được tổng hợp bằng phương pháp nào?
- Ai xác minh quyền kiểm soát địa chỉ ví?
- Ngày và giờ snapshot là khi nào?
- Người dùng có tự kiểm tra số dư của mình được không?
Merkle tree được dùng để làm gì?
Merkle tree là cấu trúc dữ liệu tổng hợp nhiều bản ghi thành một giá trị gốc, gọi là Merkle root. Mỗi tài khoản có thể được biểu diễn bằng một bản ghi đã băm; các bản ghi được ghép và băm theo tầng cho tới gốc.
Sàn có thể cung cấp cho người dùng một Merkle proof hoặc Merkle Leaf ID. Bằng đường dẫn băm này, người dùng kiểm tra bản ghi của mình có nằm trong tập nghĩa vụ đã dùng cho snapshot hay không mà không cần xem toàn bộ số dư của người khác.
Merkle proof xác nhận tính bao gồm. Nó không tự xác nhận:
- Toàn bộ tài khoản đều đã được đưa vào cây.
- Số dư đầu vào không bị ghi sai.
- Sàn không có nghĩa vụ khác bên ngoài phạm vi.
- Tài sản không bị vay tạm quanh thời điểm snapshot.
Đó là lý do vai trò của đơn vị độc lập, mô tả phương pháp và khả năng kiểm tra lặp lại vẫn quan trọng.
Cách tự kiểm tra PoR của một sàn
Giao diện mỗi sàn khác nhau, nhưng quy trình nên có các bước tương tự:
- Vào trang Proof of Reserves từ website hoặc ứng dụng chính thức; không mở liên kết nhận qua tin nhắn lạ.
- Chọn kỳ báo cáo và đọc ngày snapshot, đơn vị thực hiện, tài sản cùng loại tài khoản trong phạm vi.
- Kiểm tra tỷ lệ dự trữ cho từng tài sản, đồng thời đọc cách sàn định nghĩa tài sản và nghĩa vụ.
- Mở chức năng “Verify” để lấy Record ID, Merkle Leaf ID hoặc dữ liệu xác minh của tài khoản.
- Dùng công cụ do đơn vị kiểm tra hoặc mã nguồn được công bố để xác nhận bản ghi nằm trong Merkle tree.
- Đối chiếu số dư hiển thị với số dư của bạn tại đúng thời điểm snapshot; giao dịch sau snapshot không nằm trong ảnh chụp cũ.
- Lưu kỳ báo cáo và kiểm tra lại khi sàn phát hành kỳ mới.
Không nhập mật khẩu, seed phrase hoặc private key vào công cụ PoR. Quy trình xác minh hợp lệ không cần các bí mật này.
Một báo cáo PoR nên công bố gì?
| Thành phần | Vì sao cần |
|---|---|
| Ngày và giờ snapshot | Biết dữ liệu chỉ đúng tại thời điểm nào |
| Danh sách tài sản trong phạm vi | Tránh suy rộng từ một vài coin sang toàn bộ nền tảng |
| Loại tài khoản trong phạm vi | Biết spot, margin, futures hoặc staking có được tính không |
| Tổng nghĩa vụ khách hàng | Có vế đối chiếu với tài sản |
| Bằng chứng kiểm soát ví | Hạn chế việc liệt kê địa chỉ không thuộc quyền kiểm soát |
| Merkle root và công cụ xác minh | Cho phép người dùng kiểm tra tính bao gồm |
| Đơn vị độc lập và phương pháp | Hiểu ai kiểm tra, kiểm tra phần nào và giới hạn gì |
Nếu thiếu một thành phần, đừng vội bỏ qua toàn bộ báo cáo; hãy ghi rõ phần nào đã chứng minh được và phần nào vẫn chưa có dữ liệu.
PoR không chứng minh được điều gì?
PoR thường là snapshot, nên không bảo đảm trạng thái trước hoặc sau ngày báo cáo. Nó cũng không thay thế:
- Báo cáo tài chính đầy đủ.
- Kiểm tra nợ doanh nghiệp, khoản vay và nghĩa vụ ngoài nền tảng.
- Đánh giá kiểm soát nội bộ và quản trị rủi ro.
- Khả năng thanh khoản khi nhiều người rút đồng thời.
- Bảo hiểm tiền gửi hoặc cơ chế bồi thường.
- Giấy phép và quyền pháp lý của người dùng tại nơi cư trú.
Một tỷ lệ trên 100% trong snapshot không có nghĩa mọi người dùng sẽ luôn rút được tiền trong mọi kịch bản.
Dấu hiệu một công bố dự trữ còn yếu
- Chỉ có ảnh chụp bảng số, không có dữ liệu hoặc phương pháp.
- Chỉ liệt kê ví tài sản mà không nêu nghĩa vụ.
- Không có ngày giờ snapshot rõ ràng.
- Không cho người dùng kiểm tra số dư của mình trong tập dữ liệu.
- Không nói tài sản hoặc sản phẩm nào bị loại khỏi phạm vi.
- Dùng từ “audit” nhưng không nêu đơn vị, chuẩn và giới hạn công việc.
- Báo cáo đã quá cũ so với tốc độ thay đổi của số dư.
Checklist trước khi để tài sản trên sàn
PoR là một ô trong bảng kiểm tra, không phải toàn bộ bảng. Trước khi nạp số tiền đáng kể, hãy xem thêm:
- Pháp nhân nào ký điều khoản với tài khoản của bạn.
- Dịch vụ có được cung cấp hợp pháp tại nơi bạn cư trú không.
- Lịch sử nạp rút và cách sàn xử lý sự cố.
- Bảo mật tài khoản: passkey hoặc 2FA, whitelist rút tiền và mã chống phishing.
- Phạm vi cùng tần suất PoR.
- Khả năng tự lưu ký phần tài sản không cần giao dịch.
Giữ tài sản trên sàn tạo rủi ro đối tác. Tự lưu ký lại tạo rủi ro mất seed phrase, ký nhầm hoặc dùng ví không an toàn. Lựa chọn hợp lý phụ thuộc kỹ năng và nhu cầu, nhưng người dùng nên hiểu rõ mình đang nhận loại rủi ro nào.