OKX安全特刊|PoR篇:5分钟看懂交易所的"体检报告"
在黑天鹅出现的时候,各大中心化交易所纷纷抢着晒 PoR(Proof of Reserves,简称 PoR)报告。PoR 是一种加密验证机制,用于证明交易所在链上持有的资产足以 1: 1 覆盖用户资产总额,既保障透明度,又保护用户隐私,主要是为了证明自己没有挪用用户资产以及承兑能力。
交易所 PoR 验证方式与传统金融的区别是:PoR 基于密码学生成可公开验证的证明,支持用户自主验证;而传统审计依赖第三方抽样和报告,用户只能被动信任,透明度相对有限。
按理说,PoR 是为了让我们这些用户安心,但目前只有以 OKX 为代表的几个头部交易所还在按月发布 PoR,但很多已经处于“划水”或者“停滞”状态。但即使有了 PoR 报告,也不能保证我们存在交易所的资产万无一失了。换句话说,晒出 PoR 报告不等于绝对安全,我们还要读懂 PoR 背后,每个交易所具体做得怎么样,这反映了不同交易所的安全水平。
区块链专家 Nic Carter 曾评价 OKX 代表来主流交易所 PoR 质量的最高水平。接下来,我们将以 OKX 为样本,从更深的角度聊聊 PoR:不再只是追问“有没有”,而是弄明白它到底做得如何,以及 OKX 安全处于什么水平?
第一,看懂最核心的安全数据:PoR 是不是超过 100% 。这就像是你把钱存在银行,最基本的要求当然是银行得有足够的钱还你。这个逻辑在加密交易所一样成立。我们要看交易所的链上资产能不能 1: 1 覆盖用户的账户资产,这个比值就是所谓的“储备金率”(PoR = 平台资产 / 用户资产 × 100% )。
等于 100% :说明平台刚好持有足够资产覆盖用户资产;高于 100% :说明平台偿付资金更充分,有一定的抗风险能力。但这里也要注意,储备金率越大不等于交易所越安全,两者不能直接划等号。比如,某个币种的储备金率突然大增,有可能是平台近期活动导致的;低于 100% :这就是红灯警告了!说明平台持有的该币种资产不足以偿付所有用户。持续低于 100% ,可能意味着平台发生挤兑,甚至故意遮掩流动性问题。但也正因如此,很多平台在这种时候可能出现报告中断,这本身就是风险信号。
第二,PoR 覆盖了哪些币:是不是把主流币都算上。毕竟,我们的资产不是只压在一个币种里,BTC、ETH、USDT、USDC 这些主流币,一般占了用户仓位的八成甚至九成,PoR 所涵盖币种的数量是评估交易所透明度和资产管理能力的重要指标。以 OKX 为例,从最早 3 个币,到现在公开了 22 个币的 PoR,基本把用户主要资产都摆上台面了。光是 BTC、ETH、USDT、USDC 四个币,就占了平台资产的 66% 以上,PoR 公布的 22 个币占平台资产的 90% 以上。也就是说,只看这四个币,基本了解选择的平台安全与否。
第三,储备金干净度:即非平台币资产占总储备的比例,而非靠自家平台币“充数”。干净度是衡量交易所资产质量的重要维度。直接反映了储备的真实价值、流动性和抗风险能力——唯有在不依赖自家代币的前提下仍能保持充足储备,才能证明交易所具备真正的稳健性。但在评估交易所的储备金质量时,我们可以将“干净度”分为两类来看:
按币种单独证明——交易所对每一种主要币种(如 BTC、ETH、USDT、USDC 等)分别发布 PoR 报告,只要单个币种的储备率均大于 100% ,就说明该币种有承兑能力。此时是否纳入自家平台币并不会影响对各主流币种偿付能力的判断。
按总资产整体证明——交易所将所有资产(包括平台币在内)合并后给出一个总的储备率。这种方式下,若平台币占比较高,一旦其价格或流动性受挫,就可能导致整体储备出现不能兑付的风险,因此必须特别关注非平台币资产在总资产中的占比,也就是“干净度”。目前,大多数交易所都将平台币纳入了 PoR 中。以 OKX 为例,虽然其对单个主流币种的 PoR 均保持在 100% 以上,不受 OKB 价格波动影响;但若按照最新一期整体资产方式计算,其非平台币“干净度”约为 70% 。这意味着仅依靠 BTC、ETH、USDT、USDC 等流动性最强的主流资产,就能支撑起超过 70% 的总用户负债,真正实现了高透明度与抗风险能力。
第四,还有一点经常被忽视:BTC 和 ETH 等主流币储备量的变化趋势。大概率意味着用户或机构看好平台安全与流动性。近期, OKX 的 ETH、BTC 等主流币储备量呈现攀升趋势,比如,截至 2025 年 4 月 7 日,OKX PoR 报告显示账户中 ETH 已从 2024 年 10 月 8 日的 1, 556, 932 枚增至 1, 770, 686 枚,涨幅约 13.7% ;BTC 从 2025 年 1 月 10 日的 126, 082 枚升至 133, 151 枚,涨幅约 5.6% ,间接反映了用户对平台安全的信心。
第五,Top 10 主流币的占比:别让冷门币撑大局。Top 10 主流币占比越高,代表 PoR 越健康,因为这类资产流动性强、稳定性高,更能在极端情况下支撑平台的资金安全。据各家 PoR 报告显示,当前主流交易所的储备结构中,市值排名前 10 的主流币种占比约在 80% 以上,冷门币占比控制在 10% – 20% 之间,整体资产结构健康,符合用户对高偿付能力的预期。比如截至 2025 年 4 月 7 日,OKX Top 10 主流币总价值在 PoR 中占比约 88.8% 。
第六,PoR 报告的发布频率也很重要:是不是“偶尔晒一下”。PoR 报告通常反映的是某一特定时间点的资产状况。PoR 发布频率越高,交易所发生短期流动性或安全隐患时就越难被掩盖。OKX 自 2022 年底首发 PoR 后,始终坚持每月发布,截至 2025 年 4 月已连续发布 30 期。与此同时,每期报告还会由区块链安全机构 Hacken 审计并验证。这也说明了为什么 OKX 等头部平台一再强调“按月披露”——只有高频、可靠的审计更新才能真正增强用户信心,维护平台诚信。
在评估交易所的资产安全性时,我们必须进行数据联动,不能仅依赖平台自身发布的 PoR 报告,可以结合多方数据源进行交叉验证,以形成更全面、客观的判断。例如,DeFiLlama 的 CEX Transparency 模块提供了各大中心化交易所的链上资产储备总览,可以作为重要的外部参考。而在 Nansen 的 “CEX Token Flow” 板块中,则可以实时查看包括 Coinbase、OKX 等交易所在内的资金流入/流出情况,捕捉链上资金动态。
此前就曾出现过 OKX 在 DeFiLlama 上资产数据短时异常的情况,事后查明是由于地址升级导致第三方数据抓取滞后。这类事件提醒我们,第三方平台虽然独立,但也受限于链上地址识别的及时性和完整性。此外,一些中小交易所的 PoR 数据与第三方链上监测平台的数据差距明显,这种差异如果无法被合理解释,就需要进一步审慎调查其背后原因。
PoR 数据不能孤立解读,更不能一看到“ 100% ”等数字就掉以轻心。唯有结合链上追踪、第三方平台校验和交易所本身的公开机制,才能对资产安全性做出更科学的判断。
OKX 一直在探索更安全的底层技术支撑,以防 PoR 报告数据被篡改或伪造。OKX 自 2022 年 11 月推出基于标准 Merkle Tree 的 PoR 以来, 2023 年 3 月升级为全览 Merkle Tree V2,随后在 2023 年 4 月首创性地引入自研 zk-STARK 零知识证明,将总和约束、包含性与非负约束融合,使验证过程更轻量且开源。因此,在评估任何交易所的 PoR 报告时,除关注储备率与用户自验证外,还应综合考量其底层技术实现与演进路径,以防仅凭数据指标而忽视潜在的篡改或审计漏洞。
为什么要升级为 zk-STARK 技术?传统默克尔树证明方案存在漏洞,导致 CEX 有作恶的可能性。 默克尔树是一种常见的数据结构,当它用于储备金证明时,它通过将每个账户的余额进行哈希处理并组织成树状结构,用于验证某个账户余额是否包含在交易所的负债总额中。但是,传统默克尔树有一个 关键缺陷:它无法防止负值节点。如果中心化交易所(CEX)想要作恶,可以通过创建假账户,并将这些账户的余额设置为负值,从而让储备看起来匹配负债,即便实际上不是。
zk-STARK 使用先进的加密技术,生成的证明是数学上可验证的,且任何人都可以验证其正确性。最重要的是,zk-STARK 不需要可信设置。可信设置是指在某些加密系统(比如 zk-SNARK)中,需要一个特殊的过程来生成初始秘密参数,并且可信设置完成后需要将所有的初始秘密参数销毁。如果这个初始秘密参数被泄露或被操控,整个系统的安全性就可能被破坏。
但 zk-STARK 避免了这个风险,它基于透明的加密技术,整个过程不依赖任何秘密信息或外部信任,完全去中心化。用户无需担心平台暗箱操作或设置时的潜在漏洞。zk-STARK 提供了一个真正“无需信任”的安全保证,是目前 PoR 中最安全的方案。
zk-STARK 是如何解决这个问题的? zk-STARK 提供了数学上的强大保证,可以验证每个账户的余额是否真实且合法。没有隐藏的负值节点,zk-STARK 确保所有账户的净余额都大于等于零。此外,无法操控储备金总量,CEX 无法通过人为篡改数据伪造储备金匹配的假象。zk-STARK 彻底消除了传统储备金证明可能存在的漏洞,真正保证了用户资金的安全,避免交易所恶意欺骗用户。
