OKX安全特刊｜PoR篇：5分钟看懂交易所的"体检报告"

文章转载来源： OKX

Don’t Trust, Verify.

在黑天鹅出现的时候，各大中心化交易所纷纷抢着晒PoR（Proof of Reserves，简称PoR）报告。PoR是一种加密验证机制，用于证明交易所在链上持有的资产足以 1:1 覆盖用户资产总额，既保障透明度，又保护用户隐私，主要是为了证明自己没有挪用用户资产以及承兑能力。

交易所PoR验证方式与传统金融的区别是：PoR基于密码学生成可公开验证的证明，支持用户自主验证；而传统审计依赖第三方抽样和报告，用户只能被动信任，透明度相对有限。

按理说，PoR是为了让我们这些用户安心，但目前只有以OKX为代表的几个头部交易所还在按月发布PoR，但很多已经处于“划水”或者“停滞”状态。但即使有了PoR报告，也不能保证我们存在交易所的资产万无一失了。换句话说，晒出PoR报告不等于绝对安全，我们还要读懂PoR背后，每个交易所具体做得怎么样，这反映了不同交易所的安全水平。

区块链专家Nic Carter曾评价OKX代表来主流交易所PoR质量的最高水平。接下来，我们将以OKX为样本，从更深的角度聊聊PoR：不再只是追问“有没有”，而是弄明白它到底做得如何，以及OKX安全处于什么水平？

从这三个步骤开始

不少朋友打开PoR报告，第一眼看到的就是那一排排表格或者数据：BTC储备率104%、ETH储备率101%、USDT储备率103%……眼看都大于100%，下意识就放心了：这个平台应该还挺靠谱。但别急，其实PoR报告里隐藏的门道还挺多，光看储备率远远不够。

要想快速抓住PoR的重点和风险，可以按以下三个主要步骤和思路来看。

第一步，先看总览：打开报告，先找到用户总资产、平台总负债和储备金率。不同的交易所叫法可能不同，比如OKX用的是账户资产、以及OKX钱包资产，但本质都是指用户与交易所的资产与负债。不要只关注这些数字的大小，而是看储备金率是否等于或者大于100%。例如，OKX在4月发布的PoR中，BTC储备率是104%，不仅能满足用户日常提款需求，还预留了冗余，说明抗风险能力更强。

第二步，查币种细节：不是所有币种都一样“稳”。首先要查看是否包含主流币种（BTC、ETH、USDT、USDC等），这些币种通常占据用户资产的大头，是交易所流动性、兑付能力和风险防控水平的核心指标。其次，你得点开每个币种的明细表，看交易所总资产和用户总资产是否匹配。比如钱包里要是有1万枚USDT，用户资产总额是9千枚，那就是没问题的。但要是反过来，就要注意是否发生了异常提现或准备率下降。

第三步，识别常见套路：为了晒安全，通过关联地址自导自演一波“资金调度”，等PoR公布之后再转回去；创建大量虚假的“负债账户”降低平台负债，从而证明某一个时刻的偿付能力，下一期又打回原形等等，OKX采用zk-STARK技术，并将代码全球开源，一方面有效防止了虚假的“负债账户”套路，另外用户还能自己进行验证，来防范这种“PoR报告P图”。

如果你没有时间细看所有数据，建议重点盯三个指标：

1. 储备率是否持续稳定 >100%；

2. 是否支持用户自验证；

3. 报告是否定期更新，并涵盖主流资产及质押资产。

我们要记住：PoR数据好看不是重点，关键是读懂交易所的偿付与安全能力。

重点盯这六个数据

第一，看懂最核心的安全数据：PoR是不是超过100%。这就像是你把钱存在银行，最基本的要求当然是银行得有足够的钱还你。这个逻辑在加密交易所一样成立。我们要看交易所的链上资产能不能1:1覆盖用户的账户资产，这个比值就是所谓的“储备金率”（PoR = 平台资产 / 用户资产 × 100%）。

等于100%：说明平台刚好持有足够资产覆盖用户资产；高于100%：说明平台偿付资金更充分，有一定的抗风险能力。但这里也要注意，储备金率越大不等于交易所越安全，两者不能直接划等号。比如，某个币种的储备金率突然大增，有可能是平台近期活动导致的；低于100%：这就是红灯警告了！说明平台持有的该币种资产不足以偿付所有用户。持续低于 100%，可能意味着平台发生挤兑，甚至故意遮掩流动性问题。但也正因如此，很多平台在这种时候可能出现报告中断，这本身就是风险信号。

第二，PoR 覆盖了哪些币：是不是把主流币都算上。毕竟，我们的资产不是只压在一个币种里，BTC、ETH、USDT、USDC这些主流币，一般占了用户仓位的八成甚至九成，PoR所涵盖币种的数量是评估交易所透明度和资产管理能力的重要指标。以OKX为例，从最早3个币，到现在公开了22个币的PoR，基本把用户主要资产都摆上台面了。光是BTC、ETH、USDT、USDC四个币，就占了平台资产的66%以上，PoR 公布的22个币占平台资产的90%以上。也就是说，只看这四个币，基本了解选择的平台安全与否。

第三，储备金干净度：即非平台币资产占总储备的比例，而非靠自家平台币“充数”。干净度是衡量交易所资产质量的重要维度。直接反映了储备的真实价值、流动性和抗风险能力——唯有在不依赖自家代币的前提下仍能保持充足储备，才能证明交易所具备真正的稳健性。但在评估交易所的储备金质量时，我们可以将“干净度”分为两类来看：

按币种单独证明——交易所对每一种主要币种（如 BTC、ETH、USDT、USDC 等）分别发布 PoR 报告，只要单个币种的储备率均大于 100%，就说明该币种有承兑能力。此时是否纳入自家平台币并不会影响对各主流币种偿付能力的判断。

按总资产整体证明——交易所将所有资产（包括平台币在内）合并后给出一个总的储备率。这种方式下，若平台币占比较高，一旦其价格或流动性受挫，就可能导致整体储备出现不能兑付的风险，因此必须特别关注非平台币资产在总资产中的占比，也就是“干净度”。目前，大多数交易所都将平台币纳入了PoR中。以 OKX 为例，虽然其对单个主流币种的 PoR 均保持在 100% 以上，不受 OKB 价格波动影响；但若按照最新一期整体资产方式计算，其非平台币“干净度”约为 70%。这意味着仅依靠 BTC、ETH、USDT、USDC 等流动性最强的主流资产，就能支撑起超过 70% 的总用户负债，真正实现了高透明度与抗风险能力。

第四，还有一点经常被忽视：BTC 和 ETH 等主流币储备量的变化趋势。大概率意味着用户或机构看好平台安全与流动性。近期， OKX的ETH、BTC等主流币储备量呈现攀升趋势，比如，截至2025年4月7日，OKX PoR报告显示账户中 ETH 已从2024年10月8日的 1,556,932 枚增至 1,770,686 枚，涨幅约 13.7%；BTC 从2025年1月10日的 126,082 枚升至 133,151 枚，涨幅约 5.6%，间接反映了用户对平台安全的信心。

第五，Top10 主流币的占比：别让冷门币撑大局。Top 10主流币占比越高，代表PoR越健康，因为这类资产流动性强、稳定性高，更能在极端情况下支撑平台的资金安全。据各家PoR报告显示，当前主流交易所的储备结构中，市值排名前10的主流币种占比约在80%以上，冷门币占比控制在10%–20%之间，整体资产结构健康，符合用户对高偿付能力的预期。比如截至2025年4月7日，OKX Top10 主流币总价值在PoR中占比约88.8% 。

第六，PoR报告的发布频率也很重要：是不是“偶尔晒一下”。PoR报告通常反映的是某一特定时间点的资产状况。PoR发布频率越高，交易所发生短期流动性或安全隐患时就越难被掩盖。OKX自2022年底首发PoR后，始终坚持每月发布，截至2025年4月已连续发布30期。与此同时，每期报告还会由区块链安全机构Hacken审计并验证。这也说明了为什么OKX等头部平台一再强调“按月披露”——只有高频、可靠的审计更新才能真正增强用户信心，维护平台诚信。

在评估交易所的资产安全性时，我们必须进行数据联动，不能仅依赖平台自身发布的 PoR报告，可以结合多方数据源进行交叉验证，以形成更全面、客观的判断。例如，DeFiLlama 的 CEX Transparency 模块提供了各大中心化交易所的链上资产储备总览，可以作为重要的外部参考。而在Nansen 的 “CEX Token Flow” 板块中，则可以实时查看包括 Coinbase、OKX等交易所在内的资金流入/流出情况，捕捉链上资金动态。

此前就曾出现过 OKX 在 DeFiLlama 上资产数据短时异常的情况，事后查明是由于地址升级导致第三方数据抓取滞后。这类事件提醒我们，第三方平台虽然独立，但也受限于链上地址识别的及时性和完整性。此外，一些中小交易所的 PoR 数据与第三方链上监测平台的数据差距明显，这种差异如果无法被合理解释，就需要进一步审慎调查其背后原因。

PoR 数据不能孤立解读，更不能一看到“100%”等数字就掉以轻心。唯有结合链上追踪、第三方平台校验和交易所本身的公开机制，才能对资产安全性做出更科学的判断。

小工具，即可让用户验证交易所数据

平台自己“晒出“了PoR，但并不代表其绝对可信，在面临“你把钱放进去了，它是不是真的在？”这个终极问题时候，更需要用户可以进行验证。以OKX提供的验证逻辑为例，只需要证明两点：一是，证明用户资产总和（账户资产）正确；二是，平台链上资产总额（钱包资产）正确，最后得出“储备金率”。

例如，有两个用户将资产存入交易所，一个存入100U，另外一个存入200U，平台的总负债为300U。交易所的PoR就需要证明两个事情：所有（两个）用户的存款总额是300U，以及交易所钱包确实有300U。

第一步，用户总存款验证，OKX所使用的是名为“zk-STARK”的零知识证明算法，来证明并验证交易所持有的所有OKX账户资产。OKX 会对所有用户账户做“快照”，并按照“zk-STARK”的算法进行“约束”，第一个是“余额总和约束”，要求资产总量等于账户资产余额总和；第二个是“非负约束”，不存在掺入负资产账户虚增账面情况；第三个是“包含性约束”，要求没有任何账户被遗漏在外。

第二步，交易所钱包资产验证。OKX公开了一组钱包地址，并用私钥签名的一条消息“I am an OKX address”，并对这些地址进行所有权证明。然后任何人都可以在区块链浏览器上查到这些地址的余额。把这些链上余额相加，就得到了 OKX 持有的真实资产总额。

无论是以上三项约束、还是对交易所钱包的资产验证，OKX不仅提供了详细的用户自验证教程，用户可以随时进行验证（https://www.okx.com/zh-hans/proof-of-reserves）更是将PoR代码进行开源，以供技术社区验证和使用（https://github.com/okx/proof-of-reserves/releases/tag/v3.1.4）。

PoR方案本身仍存在迭代空间

OKX一直在探索更安全的底层技术支撑，以防PoR报告数据被篡改或伪造。OKX 自 2022 年 11 月推出基于标准 Merkle Tree 的 PoR 以来，2023 年 3 月升级为全览 Merkle Tree V2，随后在 2023 年 4 月首创性地引入自研 zk-STARK 零知识证明，将总和约束、包含性与非负约束融合，使验证过程更轻量且开源。因此，在评估任何交易所的 PoR 报告时，除关注储备率与用户自验证外，还应综合考量其底层技术实现与演进路径，以防仅凭数据指标而忽视潜在的篡改或审计漏洞。

为什么要升级为zk-STARK技术？传统默克尔树证明方案存在漏洞，导致CEX 有作恶的可能性。 默克尔树是一种常见的数据结构，当它用于储备金证明时，它通过将每个账户的余额进行哈希处理并组织成树状结构，用于验证某个账户余额是否包含在交易所的负债总额中。但是，传统默克尔树有一个 关键缺陷：它无法防止负值节点。如果中心化交易所（CEX）想要作恶，可以通过创建假账户，并将这些账户的余额设置为负值，从而让储备看起来匹配负债，即便实际上不是。

zk-STARK 使用先进的加密技术，生成的证明是数学上可验证的，且任何人都可以验证其正确性。最重要的是，zk-STARK 不需要可信设置。可信设置是指在某些加密系统（比如 zk-SNARK）中，需要一个特殊的过程来生成初始秘密参数，并且可信设置完成后需要将所有的初始秘密参数销毁。如果这个初始秘密参数被泄露或被操控，整个系统的安全性就可能被破坏。

但zk-STARK 避免了这个风险，它基于透明的加密技术，整个过程不依赖任何秘密信息或外部信任，完全去中心化。用户无需担心平台暗箱操作或设置时的潜在漏洞。zk-STARK 提供了一个真正“无需信任”的安全保证，是目前PoR中最安全的方案。

zk-STARK 是如何解决这个问题的？ zk-STARK 提供了数学上的强大保证，可以验证每个账户的余额是否真实且合法。没有隐藏的负值节点，zk-STARK 确保所有账户的净余额都大于等于零。此外，无法操控储备金总量，CEX 无法通过人为篡改数据伪造储备金匹配的假象。zk-STARK 彻底消除了传统储备金证明可能存在的漏洞，真正保证了用户资金的安全，避免交易所恶意欺骗用户。

OKX持续领先的公信力与透明度

除了采用先进的 zk-STARK 零知识证明技术，OKX 还引入第三方独立审计机构HACKEN进行认证，为用户提供额外的信任保障。当前，Hacken 的审计团队每月对 OKX 的储备金进行验证，确保其链上资产完全覆盖用户负债，即储备金率处于100%或者更高水平，并会公开审计报告，用户可以随时查阅。

PoR只是CEX安全性的一个切面，无法全面防范潜在风险。用户在选择CEX时，既要依赖PoR提供的链上资产验证能力，也需要从治理结构、资金流动性、技术实力等多方面综合考量。OKX 正是凭借持续稳定的PoR 发布节奏、行业领先的 zk-STARK 创新技术和第三方独立审计协作，构建起更可信的安全防线，真正做到了——让透明可见、用户可验。

OKX以持续领先的公信力与透明度，正获得全球更多广泛用户的信任和选择。

Don’t Trust, Verify.