Автор Chao Cheng Zedong тема Новости

Почему одного proof-of-reserves недостаточно, чтобы заслужить доверие

Почему одного proof-of-reserves недостаточно, чтобы заслужить доверие

Что такое proof-of-reserves

Proof-of-reserves (PoR) — это публичное подтверждение того, что кастодиан или биржа действительно держит активы, которые заявляет, обычно с опорой на криптографические методы и прозрачность ончейна.

Но даже если каждая криптобиржа публикует отчет PoR, в кризис вывод средств все равно может замедляться или останавливаться.

PoR не является гарантией доверия: он показывает наличие проверяемых активов на конкретный момент времени, но не подтверждает, что платформа платежеспособна, достаточно ликвидна и управляется так, чтобы исключать скрытые риски.

Даже при корректной реализации PoR часто остается «снимком» на одну дату и не отражает, что происходило до и после момента отчета.

Без достоверной картины обязательств PoR не может доказать платежеспособность — а именно это пользователям критично во время ажиотажного вывода.

Знаете ли вы? 31 декабря 2025 года глава Binance сообщил, что публично подтвержденные через proof-of-reserves пользовательские активы на платформе достигли $162,8 млрд. Источник.

Что именно доказывает PoR и как его обычно проводят

На практике PoR включает две проверки: активов и, в идеале, обязательств.

Со стороны активов биржа показывает, что контролирует определенные кошельки — обычно публикуя адреса или подписывая сообщения.

С обязательствами сложнее: чаще всего биржа делает снимок пользовательских балансов и фиксирует его в дереве Меркла (нередко Merkle-sum). Пользователь может проверить, что его баланс включен, с помощью доказательства включения, не раскрывая при этом балансы других.

Если все сделано правильно, PoR показывает, покрывают ли ончейн-активы клиентские балансы на конкретный момент времени.

Знаете ли вы? Binance позволяет каждому пользователю самостоятельно проверить, что его учетная запись учтена в PoR-снимке: на странице верификации формируется криптографическое доказательство на базе дерева Меркла, подтверждающее учет баланса без раскрытия данных других пользователей.

Как биржа может «пройти PoR» и при этом оставаться рискованной

PoR повышает прозрачность, но на него нельзя полагаться как на единственный показатель финансового здоровья компании.

Отчет об активах без полного учета обязательств не доказывает платежеспособность. Даже если ончейн-кошельки выглядят внушительно, обязательства могут быть неполными или определенными выборочно: например, могут не учитываться кредиты, деривативные позиции, юридические претензии или внечейн-расчеты. В итоге можно увидеть «деньги есть», но не понять, способна ли компания выполнить все обязательства.

Кроме того, разовая аттестация не показывает, каким был баланс неделю назад и каким станет на следующий день. Теоретически активы можно временно занять для улучшения «снимка», а затем вывести обратно.

Также PoR часто не отражает обременения: обычно невозможно понять, заложены ли активы, выданы ли в заем или иным образом связаны — то есть будут ли они доступны при всплеске выводов.

Ликвидность и оценка резервов тоже могут вводить в заблуждение. Владеть активами — не то же самое, что быстро и в больших объемах продать их в стрессовый период, особенно если резервы сосредоточены в низколиквидных токенах. PoR этого не раскрывает; для этого нужны более прозрачные сведения о рисках и ликвидности.

PoR — это не то же самое, что аудит

Проблема доверия во многом связана с тем, что ожидания пользователей не совпадают с реальностью.

Многие воспринимают PoR как «сертификат безопасности». На практике же такие проверки нередко похожи на согласованные процедуры (AUP): исполнитель делает набор конкретных тестов и описывает результаты, но не дает аудиторского заключения о состоянии компании в целом.

Аудит или даже обзорная проверка предполагают вывод об обеспечении в рамках формальных стандартов. AUP-отчет уже по охвату: он фиксирует, что именно проверялось и что обнаружено, а интерпретацию оставляет читателю. По стандарту ISRS 4400 согласованные процедуры не являются заданием по обеспечению и не выражают мнения.

Регуляторы указывали на этот разрыв. PCAOB предупреждал, что PoR-отчеты по своей природе ограничены и их не следует воспринимать как доказательство достаточности активов для покрытия обязательств — в том числе из-за отсутствия единообразия в том, как такие проверки выполняются и описываются. Источник.

По этой же причине после 2022 года PoR привлек больше внимания. Mazars приостановила работу с криптоклиентами, сославшись на опасения по поводу того, как отчеты в стиле PoR преподносятся и как публика может их интерпретировать. Источник.

Из чего может состоять практичная система доверия

PoR может быть отправной точкой, но реальное доверие появляется, когда прозрачность дополняют доказательством платежеспособности, сильным управлением и понятными операционными контролями.

Начать стоит с платежеспособности: нужно показывать активы в сравнении с полным набором обязательств, чтобы активы были больше или равны обязательствам. Доказательства обязательств на базе Меркла, а также более новые подходы с zero-knowledge призваны закрыть этот пробел, не раскрывая индивидуальные балансы.

Далее важно получить подтверждение того, как биржа устроена операционно. «Снимок» не показывает, есть ли дисциплинированные контроли: управление ключами, права доступа, управление изменениями, реагирование на инциденты, разделение обязанностей и процессы хранения. Поэтому институциональная проверка часто опирается на отчеты в стиле SOC и похожие рамки, оценивающие контроли во времени, а не только баланс на одну дату.

Нужно также раскрывать ликвидность и обременения. Платежеспособность «на бумаге» не гарантирует способность пережить набег на вывод. Пользователям важно понимать, свободны ли резервы от залога и насколько быстро активы можно конвертировать в ликвидные средства в крупных объемах.

И, наконец, все должно опираться на управление и раскрытия: понятные правила кастодиального хранения, управление конфликтами интересов и последовательные раскрытия, особенно для продуктов с дополнительными обязательствами — доходность, маржинальная торговля и кредитование.

PoR полезен, но не заменяет ответственность

PoR лучше, чем ничего, но это по-прежнему узкая проверка «на момент времени», хотя ее нередко продают как знак надежности.

Сам по себе PoR не доказывает платежеспособность, ликвидность и качество контролей. Поэтому прежде чем считать значок PoR признаком безопасности, стоит проверить:

  1. Учитываются ли обязательства или показаны только активы? Отчет только по активам не доказывает платежеспособность.
  2. Что входит в периметр проверки? Не исключены ли маржа, доходные продукты, займы или внечейн-обязательства?
  3. Это разовый снимок или регулярная отчетность? Одну дату можно «приукрасить», важна стабильность.
  4. Свободны ли резервы от обременений? «Хранятся» не означает «доступны в стрессовый момент».
  5. Какой тип проверки проведен? Многие PoR-отчеты ограничены по охвату и их нельзя читать как аудиторское мнение.