ROO:哪些机构近期更新了储备金证明？_BIT

来源：NicCarter

编译：Katie，Odaily星球日报

一年前SBF接受《金融时报》采访时曾说，如果?FTX?成为最大的交易所，买下高盛和芝加哥商品交易所不是问题。一年后的今天，我们却见证了Crypto圈内年度Drama事件。

CZ今日发推表示，加密交易所不应该像银行一样实行部分储备金制度，所有加密交易所应公开储备金证明。而币安很快就会开始做储备金证明，保持充分的透明度。随后?OKX?公布计划在未来30天内发布储备金证明；Bitget也称将公布储备金证明。

储备金证明是否会是遏制币圈再次“地震”的解药？Odaily星球日报将带大家探索储备金对加密行业的意义，并盘点主要加密交易平台等机构的储备金证明最新进展。

什么是储备金证明？

如果我能做一件事来改善这个行业，那就是说服加密货币领域的每个托管服务提供商采用常规的储备金证明程序。

Beosin：sDAO项目遭受攻击事件简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin?EagleEye 安全风险监控、预警与阻断平台监测显示，BNB链上的sDAO项目遭受漏洞攻击，Beosin分析发现由于sDAO合约的业务逻辑错误导致，getReward函数是根据合约拥有的LP代币和用户添加的LP代币作为参数来计算的，计算的奖励与用户添加LP代币数量正相关，与合约拥有总LP代币数量负相关，但合约提供了一个withdrawTeam的方法，可以将合约拥有的BNB以及指定代币全部发送给合约指定地址，该函数任何人都可调用。而本次攻击者向其中添加了LP代币之后，调用withdrawTeam函数将LP代币全部发送给了指定地址，并立刻又向合约转了一个极小数量的LP代币，导致攻击者在随后调用getReward获取奖励的时候，使用的合约拥有总LP代币数量是一个极小的值，使得奖励异常放大。最终攻击者通过该漏洞获得的奖励兑换为13662枚BUSD离场。Beosin Trace追踪发现被盗金额仍在攻击者账户，将持续关注资金走向。[2022/11/21 7:53:09]

储备金证明是指持有加密货币的托管业务应该创建关于其储备的公开凭证，并与用户余额的证明相匹配。理论上：

慢雾：跨链互操作协议Nomad桥攻击事件简析:金色财经消息，据慢雾区消息，跨链互操作协议Nomad桥遭受黑客攻击，导致资金被非预期的取出。慢雾安全团队分析如下：

1. 在Nomad的Replica合约中，用户可以通过send函数发起跨链交易，并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根，其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。

2. 项目方在进行Replica合约部署初始化时，先将可信根设置为0，随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0，这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。

3. 因此攻击者可以直接构造任意消息，由于未经过prove因此此消息映射返回的根是0，而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效，导致了攻击者任意构造的消息可以正常执行，从而窃取Nomad桥的资产。

综上，本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0，且在进行可信根修改时并未将旧根失效，导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]

储备金证明+负债证明=偿付能力证明

安全团队：LPC项目遭受闪电贷攻击简析，攻击者共获利约45,715美元:7月25日，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，LPC项目遭受闪电贷攻击。成都链安安全团队简析如下：攻击者先利用闪电贷从Pancake借入1,353,900个LPC，随后攻击者调用LPC合约中的transfer函数向自己转账，由于 _transfer函数中未更新账本余额，而是直接在原接收者余额recipientBalance值上进行修改，导致攻击者余额增加。随后攻击者归还闪电贷并将获得的LPC兑换为BUSD，最后兑换为BNB获利离场。本次攻击项目方损失845,631,823个 LPC，攻击者共获利178 BNB，价值约45,715美元，目前获利资金仍然存放于攻击者地址上（0xd9936EA91a461aA4B727a7e3661bcD6cD257481c），成都链安“链必追”平台将对此地址进行监控和追踪。[2022/7/25 2:36:51]

这个想法是为了向公众，证明你在存款中持有的加密货币与用户余额匹配。当然，在实践中这并不是那么简单。证明你控制了链上的一些资金意义不大，你总是可以在短期的基础上借到这些资金。所以，时间点验证的意义相对较小。

Grim Finance 被黑简析：攻击者通过闪电贷借出 WFTM 与 BTC 代币:据慢雾区情报，2021 年 12 月 19 日，Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。

1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币，并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。

2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作，而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中，depositFor 会根据用户转账前后本合约与策略池预期接收代币(预期接收 want 代币，本次攻击中应为 SPIRIT-LP)的差值为用户铸造抵押凭证。

3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性，攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时，恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押，此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。

4. 由于攻击者对 GrimBoostVault 合约重入了多次，因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。

此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁，导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。慢雾安全团队建议：对于用户传入的参数应检查其是否符合预期，对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。[2021/12/19 7:49:04]

此外，交易所可能存在隐性债务，或者债权人要求储户享有优先权，特别是如果它们不合法地“区别对待”平台上的客户资产。这就是为什么怀俄明州SPDI法案如此重要，它明确了储户相对于托管机构的法律地位。

证明负债很棘手，通常需要审计师进行全面评估。例如，交易所可以省略某些负债来“”PoR验证。这就是为什么我既推荐面向用户的PoR协议，允许用户通过集体验证其个人余额来获得“群体免疫”，也推荐面向审计师的PoR协议，以证明所声称的负债是真实的。

另一个问题是，交易所可能有未说明的负债，这是单纯的现金流分析可能无法捕捉到的。例如，考虑到许多交易所存在于混乱的监管制度和法律环境中，在破产的情况下，并不能保证储户优先于债权人。这意味着，在最坏的情况下，大额债务可能包含一项隐性负债，从而削弱储户对储备金的要求。这就是为什么我建议在PoR过程中加入一名审计师，这样就可以理解这些更复杂的负债。简单来说，交易所应该采取一种法律政策，即享有绝对的特权，优先于所有债权人。

因此，储备金证明计划并非完全不可信。仍然值得一试，原因如下：

这是很好的“看管服务”。定期的PoR验证向你的终端用户表明你状况良好，并且你对偿付能力保持警惕；

这是一种强有力的自我监管措施。如果交易所集体采用PoR，监管机构可能更倾向于采取宽松的监管方式。通过自愿的自我监管措施，在相对自由的情况下运营，要比以后承受繁重的监管强制措施要好得多；

它使部分储备金制度无处可藏，从而有助于防范“有”运营商。这些交易所的失败对整个行业造成了严重的影响，因此避免它们符合所有人的利益。

有人不相信储备金证明在行业中的影响力，认为目前还不够完善。目前，行业标准几乎没有透明度。那些受到更严格监管的交易所，例如，在纽约信托许可证的监管下，宣称自己是用户资金的公平管理者听起来让人更信服。

一些交易所通过审计获得银行合作伙伴，但这些审计通常不是面向消费者的，而且许多交易所监管松散。一个更有力的信任信号需要允许储户个人核实他们的存款是否真的存在于交易所的控制之下。如果我们让“追求完美”阻碍了PoR等流程的采用，我们很可能会以一个更糟糕的局面结束，即交易所受到繁重的、自上而下的监管。与国家监管相比，我一直更喜欢由行业推动的主动自我监管。

在我看来，“储备金证明”指的是一个特定的程序，在这个程序中，托管人透明地证明链上储备金的存在，然后提供一个等价的证明，证明未偿负债不超过这些储备金。这个术语通常是指相关的程序。例如，稳定币验证有时被称为PoR。但在这种情况下，是链上的负债和银行系统中的储备金。在我看来，储备金证明特指实体证明存在与他们发行的某些票据相匹配的加密储备的程序。

部分行业玩家的?PoR状态

最近进行PoR验证的实体：

Kraken

Nexo

Coinfloor

Gate.io

HBTC

BitMex

Ledn

部分验证

Revix

Bitbuy

Shakepay

其他

TrustToken?TrueCurrencystablecoins

CoinShares?

注：我只是“按现状”陈述一下，并不背书或保证它们的正确性。

常见问题

如果你指的是“偿付能力证明”，为什么要说是“储备金证明”？

储备金证明听起来更好，偿付能力是一个更高的标准。理想情况下，PoR应与已知和隐藏债务的全面核算相结合，从而获得更强的偿付能力保证。

交易所/用户隐私问题会泄漏吗？

只要交易所能让人们知道存款资产的总价值，他们就不必泄露任何额外信息。在实践中，确定一个交易所有多少代币并不重要，许多第三方提供商都会主动发布这些数据。因此，无论如何，试图隐藏存款的代币数量是注定要失败的。通过责任证明工具，用户信息被匿名化和分散。这只允许了解其帐户ID和余额的用户验证他们是否包含在merkle证明中，而无需监视其他用户。

那么?DEX?的隐私问题呢？

DEX的增长令人振奋，对行业来说是意义非凡。然而，加密货币用户对托管所有权有着明显的偏好，至少对其一部分的代币是如此。自我托管很难，不是每个人都能做到的。大约20-25%的BTC和?ETH?被保存在托管环境中。通过鼓励托管交易所采用PoR，我希望可以改善托管交易所的用户保证。

你需要审计师吗？

在?BitMEX?的案例中，我相信用户在没有第三方审计师的情况下得到了充分的保证。实际上，通过运行该过程，用户可以确定BitMEX控制了特定数量的BTC，并且他们的账户余额包含在最终的merkle余额树中，这样，如果有足够多的用户运行了分析，你就可以得到可靠的保证，BitMEX不会选择性地排除任何负债，从而夸大了他们的偿付能力。

在这种情况下，只有BTC在相对简单的完全储备设置中得到证明。然而，在更复杂的设置中，它可能是部分储备金模型或更像银行的环境，或者具有多种资产，甚至是非区块链资产和潜在的法定资产，那么你将需要合并审计师。ArmaninoLLP多年来一直在进行PoR程序，是这一行的专家。

我想采用PoR，有什么推荐的吗？

我建议更新你们的法律条款，澄清：

a）客户存款和营运资本的分离；

b）客户存款在清算中的优先地位；

c）在你们的监管制度下，你们对储户的责任。

至于采用PoR策略，我建议采用merkle方法，对偿付能力进行持续的、增加审计师、用户可验证的证明。时间点验证是不够的。我建议使用审计师协助和证明负债方面。目前，众所周知Armanino、Mazars和毕马威是提供这些服务的审计/会计公司。我强烈建议允许储户使用Maxwell/Toddmerkle方法来验证他们的余额是否包含在负债证明中。

为什么我需要审计师或外部第三方的协助？

为了让用户对账户情况有信心，就需要聘请一位值得信赖的审计师，愿意压上他们的专业声誉来评估负债情况。

谁是PoR/实时验证领域的市场领先者？

Armanino?是市场领导者。他们拥有行业迄今为止最专业的程序及服务，以及该领域最活跃的客户。特此声明，我和他们没有任何形式的商业关系。

标签：ROOPORBITBTCWAROO币port币美元价格Bybit交易所sbtc币最高涨到多少

以太坊交易热门资讯