改革只发生在危机之后,但为时不晚。
原文:The Status of Proof of Reserve as of Year End 2022
作者:Nic Carter,Castle Island Ventures 合伙人,CoinMetrics 创始人
编译:Katie 辜,Odaily 星球日报译者
封面:Photo by Nkululeko Jonas on Unsplash
自 FTX 崩溃后,机构纷纷曝光的加密储备证明给摇摇欲坠的市场提供了一线希望。我们很可能会走出这场危机,在交易所信用方面向前迈出一大步。但围绕储备证明仍存在大量疑问,交易所们仍任重道远。在过去的两个月里,大型交易所 Kraken、BitMEX、OKX 和币安等都发布了 “储备证明”(PoR),虽然这些证明并不都提供相同的保证。
本文将解答一些关于 PoR 的遗留问题,并通过框架判断最近的 “储备证明” 的有效性标准,帮助用户更好地识别交易所的可靠性。
哪些机构提供了 PoR?
我整理了我能找到今年所有 PoR 的数据,主要包括了一些程序。我正在统计托管的 CEX,以及对终端用户的未偿还债务。但其他一般的 “储备证明” 的内容不包括在内。
有以下五个要点:
- 我发现这些交易所总共涵盖了 330 亿美元资产的储备证明(占加密货币总市值的 4% )。这些认证的质量参差不齐,但涵盖范围不断扩大的势头是一个好的信号。
- 只有 BitMEX 和 Deribit 持续执行这些程序,因为他们不依赖审计员的监督。Kraken 的节奏较慢,因为他们使用审计员进行监督。对于审计人员监督的 PoR,我对其执行速度并不看好。
- 只有 BitMEX 和 Deribit 允许第三方自行核实负债表。所涉及的大多数交易所都允许其客户单独验证他们的负债是否包括在内,从而产生了一种 “群体免疫” 现象(假设一些客户确实进行了验证并确认是正确的,其他用户也就懒得去验证),但大多数这些交易所都没有公布完整的负债表。然而,作为第三方,我更喜欢自行核实的模式。
- 传统审计方 Armanino 和 Mazars 监督了所有有审计员在场的 PoR 认证,他们现在都退出了 PoR 市场,这对该行业来说是个问题。我希望一些审计公司能重新涉足这一领域。在短期内,我预计这些交易所大多无法说服审计公司监督其 PoR,因为公众对这些审计公司的 “反感” 相当强烈。
- 还有很大的改进空间。我提出的五点测试(下文详述)列出了非常简单的改进方法。对于一些交易所来说,只需承诺持续运行 PoR 就能帮助他们加分。对其他机构来说,覆盖更大份额的资产或引入审计员会有所帮助。
如何看待最近的储备证明?
最近交易所都在亮出其 PoR,但其公布的信息类别并非都是一样的。在我的 PoR 跟踪网站上,我将最近的交易所认证分为 “金标准”、“优质” 和 “其他”。为了获得 “金标准” 标签,交易所应该做到以下几点:
- 满足 PoR 的基本特性:对所持资产进行加密认证,并披露负债情况;
- 最佳的做法是在流程中加入第三方审计员,以确保经证明的负债与内部数据库相匹配;
- 如果没有审计员参与,则通过对平台上所有资产进行 PoR,并允许第三方验证者检查负债表的完整性,包括负债的非负性,来提高证明的可信度;
- 坚持进行中的程序,并保持较高的审计频率,这是针对不同类型的 PoR(有监督和无监督)。我希望看到由审计员监督的 PoR 的季度情况。对于无监督的,可能会有更频繁的审计频率。
Kraken、BitMEX、Deribit 和 Kucoin 符合上述标准,并在我的追踪器上获得 “金标准” 标签。
我给得分至少为 4/6 的交易所 “优质” 的标签,给得分低于 4 的交易所 “其他” 的标签。该测试为每个点加 1 分,部分点加 0.5 分:
资产方面:
- 该实体是否对持有的资产进行了加密验证?(1 分)
- PoR 是否覆盖了平台上的绝大部分资产?(1 分)
- 该程序是否以合理的频率重复进行?(1 分)
负债表方面:
- 用户能否验证其是否包含在负债表中?(1 分)
- 如果交易所在保证金和贷款方面情况复杂,这些是否在负债证明(PoL)中全部计入?(1 分)
- 是否有可靠的审计员对负债认证进行监督?(1 分)
我希望看到的 “额外加分” 项目是:
- 该实体是否能够证明所持有资产的 “独家所有权”?
- 该实体是否能够证明在 PoR 认证之前没有通过 “粉饰账目” 来支撑现金头寸?
- 实体是否明确规定了客户与营运资金的界线?
- 在破产或清算情况下,实体是否明确确保客户存款的优先级?
- 该实体是否是储备 PoR 联盟的一部分,共同证明客户存款不重复?
接下来我将深入研究四个 PoR 例子
Kraken
Kraken 聘请 Armanino LLP 进行认证,这给了客户很大的信心,他们没有隐藏负债情况,没有在默克尔树中发布负的或少计的余额,也没有 “粉饰账目”(即短期借款以通过认证)。
Kraken 还为平台资金中占多数的 BTC、ETH、USDT、USDC、XRP、ADA 和 DOT 做了 PoR。甚至涵盖了 ETH、ADA 和 DOT 的抵押资金。现在 Kraken 每六个月做一次 PoR,我希望次数能更频繁。Kraken 认识到 PoR 的短板所在,并不认为 PoR 是解决交易所问题的 “灵丹妙药”。
BitMEX
BitMEX 的做法也值得称赞。他们不依赖审计机构,而是选择了一种高度透明的模式。在资产方面,他们列出了交易所持有的所有 BTC 余额,以及这些 UTXO(未花费的交易输出)的执行脚本,这些脚本证明它们可以由 BitMEX 多签使用。在负债方面,他们完整地公布了用户余额的默克尔树。而且 BitMEX 现在每周发布两次 PoR 证明,比大多数其他交易所更频繁。
Deribit
Deribit 似乎也遵循类似于 BitMEX 的模式,他们公布了全部的负债,这意味着任何人(无论是客户还是非客户)都可以自己评估 PoR。他们实际上把账户分成了许多部分(而不是像 BitMEX 分四部分),而且每天都发布负债表快照。Deribit 的独特之处在于,他们公布了锁定的累计保证金,这样第三方能够评估相对于交易所资产的整体客户杠杆率。
在我评估的交易所中,只有 Deribit 的 PoR 覆盖了 100% 的客户资产(BitMEX 的 PoR 覆盖率也接近 100% )。这是因为 Deribit 是一个衍生品交易所,质押品类型相对较少。可以改进的一点是通过加密方式证明所持有资产的所有权,而不是简单地公布钱包地址。
BitMEX/Deribit 和 Kraken 在加密技术与机构信任度之间进行权衡。Kraken 没有向公众公布完整负债表,但可信度依然高,因为他们聘用了具有监督程序经验的可靠审计员。此外,Kraken 用户可以验证他们是否包含在负债表中,这为我们提供了另一层保证。另一方面,BitMEX 没有使用审计员,而是频繁发布完整的储备证明,允许任何人验证 PoR。
币安
币安的 PoR 得分很低,因为其 PoR 不完整。从技术上讲,安全公司 Mysten Labs 在币安 PoR 中发现了许多问题,包括币安低估负债的四种可能方式。
现在币安提到他们打算让第三方审计员参与后续的储备认证,扩大覆盖的资产表,并探索 ZK 证明,以确保保证金的负余额与用户质押品完全匹配。我确实认为最近围绕币安的一些批评被夸大了,似乎有人希望币安走上 FTX 的道路。无论如何,币安可以通过更全面的 PoR 来平息许多谣言。
当然,评估交易所信誉的范围远不止这个简单的标准。例如,我们希望保护负债证明,不泄露任何实质性内容(不泄露用户余额的分布,或用户的数量等)。此外,保证金账户也很复杂,一些交易所在默克尔树中插入负的用户余额,通过正质押品余额抵消。交易所对保证金和贷款越放松,PoR 就越不直接,审计员的监督也就越有必要。
证明所持资产的 “真实性” 是另一个棘手的问题。交易所当然可以借入资金并 “粉饰账目”。这不仅仅是 PoR 问题,而是一个众所周知的记账问题。将审计机构纳入这一过程,可能有助于避免交易所只是在短期内借入资金。最后,还有法律和合同问题,至少给客户强有力的保证,让他们有权在各种情况下使用资产。
交易所应该只公布默克尔树还是完整的负债表?
对此存在一定程度的争议。交易所并不热衷于像 BitMEX 或 Deribit 那样公布完整对负债表。如果他们有 1 亿以上的用户,就像币安一样,这样的文件也会非常大。即使你随机划分余额,仍然会公布大量数据(容易被不怀好意的人利用)。因此,交易所对隐私的渴望与 PoR 的可审计性之间存在权衡。如果未公布完整的负债表,第三方就无法有意义地评估 PoR 的质量。
PoR 的当前状态并不能给出好的答案。但在我看来,PoR 应该是面向公众的,而不仅仅是客户可以自己验证。所以我支持尽可能多地公布负债表信息。我认为对默克尔树导致隐私泄露的担忧并非没有根据,虽然有审计员的监督会有所帮助,但我更喜欢 Crypto Native 的解决方案(如 ZK 证明)。ZK 负债证明可能会给予第三方(不仅仅是交易所客户)强有力的保证,同时保持客户余额分布的隐私。ZK 技术已得到发展,在整个行业中都得到了广泛的信任,并将其应用于生产中。在我看来,ZK 负债表计划的时机已经成熟。
储备证明的下一步是什么?
关于 PoR,我希望看到的是以下几点的结合:
- ZK 负债表证明。它们不会泄露客户数据,但仍然提供可信的认证。而使用默克尔的方法,即使通过将账户分成随机碎片来加强保密性,仍会泄露关于客户行为的各种数据。消除这些隐私问题可以使交易所追求高标准的 PoR。
- 基于 PoR 之上的法律和合同保证。PoR 并不能取代明确的条款,即在清算情况下确立存款人的优先地位,并将客户资本和营运资本分开。
- 审计公司重新入场。现在,为 PoR 做固定审计程序(AUP)的主要注册会计师事务所已经弃用了他们的做法。我希望看到一些审计公司站出来,重新开始监督 PoR 认证,因为不受监督的 PoR 无法提供同样的保证。与保证金和贷款有关的更复杂的负债情况更需要审计公司。
- PoR 标准化。我们还没有解决的一个问题是在 PoR 之前借款,然后归还资金的可能性。频繁的认证主要解决了这个问题(如果每天都在做 PoR 认证,就很难进行虚假操作),但另一种解决方法是大量交易所共享 PoR 标准。如果他们在某种 PoR 联盟中,他们可以证明各自的资本唯一性,这将相对容易验证。
- 专门的托管机构建立自己的 PoR 业务。一些交易所正在外包托管。因此,我们可以预期加密货币最终可能更像传统金融,订单匹配、清算/结算和托管是不同的功能。我希望看到这些托管机构开始建立他们自己的 PoR 业务。Coinbase 代表 GBTC 持有的比特币就是这种情况,但 Coinbase 还没有建立起认证的基础设施。
- 取代 CEX 的 DEX。功能性 DEX 相当于持续的 PoR,因为客户通常会保留自己的资产直到进行交易。一些人注意到,像 StarkExa 这样的交易所是纯粹的链上 DEX 和执行 PoR 的 CEX 之间的缓冲区。你可以把储备证明看作是在链上实现链下链功能的尝试,而 DEX 是最终状态。如果我们能够获得高性能和值得信赖的 DEX,那么我们就不用担心 CEX(和 PoR)了。
总结
多年来,我一直在推动 PoR/偿付能力证明的发展,没想到导致这一轮 PoR 的催化事件是 FTX 的崩溃。不幸的是,改革只发生在危机之后。
我们没有充分要求交易所证明交易所储备,因此遭受了比加拿大最大的数字货币交易所 Quadriga(该交易所旗下的冷钱包 “鬼鬼祟祟” 地进行向外转账操作)更严重的损失。实际上,如果 FTX 的缺口最终达到 80 亿美元,按法定金额计算,将是 Quadriga 亏损的 37 倍。令人难以置信的是,似乎从来没有人仔细检查过 FTX 热钱包或冷钱包。仅仅是 “资产证明” 可能就会让其自曝,更不用说完整的储备证明了。
如果 PoR 在行业中 “根深蒂固”,Quadriga、Gox 和 FTX 事件都是可以避免的,因为这些交易所都无法通过 PoR。因此,我将鼓励每个已经进行 PoR 流程的交易所继续发布储备证明,并增加它们的频率和资产覆盖率。监管机构和立法者最终可能会要求交易所进行 PoR,所以最好提前一步,现在就开始自愿进行储备证明认证。
相关阅读
深入与解读 Vitalik 默克尔树的改进方案和对 CEX 发展的影响
免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。