Tổng quan
Trong kinh doanh, việc vay mượn không phải là một điều xa lạ. Tuy nhiên, việc cho vay mà không thông qua ý kiến khách hàng, hành động khác với chức năng hoạt động cốt lõi lại là việc khác. Điển hình như trường hợp của sàn FTX, thay vì bảo vệ tài sản của người dùng, CEO lại bí mật chuyển một lượng lớn tiền cho công ty chị em Alameda vay mượn và thua lỗ. Khi mọi chuyện bị phát giác cũng chính là lúc FTX bị phá sản. Tiền mất, tật mang, người dùng trên FTX trở thành đối tượng bị thiệt hại nặng nề.
Thông qua sự kiện lần này, một câu hỏi lớn được đặt ra là tài sản của họ đã đi đâu? Làm sao họ có thể biết được chúng đang được lưu trữ đúng cách? Hay điều gì có thể đảm bảo cho việc đó? Ở thời điểm hiện tại, Proof-of-Reserves (PoR) chính là câu trả lời.
Ngoài việc giải quyết được khúc mắc trên (mặc dù chưa hoàn toàn thỏa đáng), Proof – of – Reserves còn có một chức năng khác đó chính là duy trì niềm tin của người dùng, một thứ xa xỉ mà bất cứ sàn giao dịch hay dự án nào cũng cố gắng giành được.
Vấn đề cốt lõi nằm ở niềm tin
Niềm tin, đó là một trong những nền tảng cốt lõi của thị trường tài chính, giúp cho thị trường này vận hành. Ví dụ bạn muốn vay tiền mua nhà, bạn cần niềm tin của ngân hàng bằng các tài sản thế chấp, hoặc là chứng minh rằng mình có đủ khả năng chi trả khoản vay (thông qua bảng lương, các mối quan hệ người nhà). Hay là các công ty muốn huy động vốn từ cộng đồng (thông qua cổ phiếu, trái phiếu,…), họ cũng cần một lời hứa hẹn với lãi suất/ cổ tức cao và đều đặn để gây dựng lòng tin cho cổ đông. Có thể nói rằng, gây dựng niềm tin từ khách hàng là thứ quan trọng nhất đối với mỗi doanh nghiệp hay mỗi dự án.
Sự ra đời của blockchain đã và đang được giải quyết các khía cạnh của vấn đề niềm tin. Ở đó, các giao dịch có thể được theo dõi on-chain, real-time và hoàn toàn đáng tin. Ví dụ trong các nền tảng lending/borrowing như AAVE, Curve,…người dùng có thể biết tài sản thế chấp là gì? Lãi suất bao nhiêu? Chênh lệch giữa giá trị thế chấp và giá trị vay? Mức thanh lý tài sản? Và chúng có thể được xử lý hoàn toàn tự động dựa trên Smart Contract.
Tuy nhiên, không phải các ứng dụng Web3 nào cũng thân thiện với người dùng truyền thống. Vì vậy, các sàn giao dịch tập trung (CEX) vẫn là cửa ngõ dễ dàng và thu hút dòng tiền lớn từ cộng đồng đầu tư. Tuy nhiên, ở một khía cạnh kinh doanh nào đó, nhiều tổ chức lớn không muốn minh bạch giao dịch của mình. Người dùng không thể biết tiền của họ có được cất giữ an toàn hay không? Hay chúng đang được sử dụng với mục đích gì? Liệu họ có thể thu hồi tài sản bất cứ lúc nào không?
Sau sự sụp đổ của FTX, những mối nguy hiểm tiềm tàng khi lưu trữ trong các nền tảng tập trung càng trở nên rõ ràng. Vì vậy, dưới sức ép từ cộng đồng cũng như sau lời hiệu triệu của “nhà vua” CZ, một trào lưu Proof–of–Reserves (bằng chứng lưu trữ) đã được triển khai trên khắp thế giới như một liều thuốc để trấn an và “chữa lành” niềm tin cho người dùng nếu không muốn toàn bộ hệ thống tiền mã hóa đối diện với nguy cơ tan vỡ.
Proof – of – Reserves (PoR) là gì?
Khái niệm PoR đơn giản là một cách để chứng minh trách nhiệm của người giám sát đối với tiền gửi của khách hàng. PoR không chỉ áp dụng trong ngành công nghiệp tiền mã hóa mà còn áp dụng trong nhiều ngành nghề khác nhau. Tuy nhiên, trong bài viết này, chúng ta sẽ chỉ nói sâu đến PoR của sàn CEX, nơi đang dần mất đi sự tín nhiệm của các nhà đầu tư bởi sự không minh bạch trong việc quản lý tài sản của người dùng.
Thực tế, trong lĩnh vực crypto, PoR không mới, và thậm chí đã được đề cập đến từ lâu sau scandal của Mt.Gox vào cuối năm 2013, hay sàn Quadriga (sàn crypto lớn nhất Canada vào thời điểm năm 2019), khi CEO đã biển thủ và sử dụng sai cách tiền gửi của khách hàng.
Vào năm 2020, sàn tập trung Gate.io đã phát triển phương pháp xác minh PoR bằng cách sử dụng Merkle Tree và được cấp bằng sáng chế cho quy trình này. Nhà sáng lập Gate, Dr Lin Han cho biết:
“Gần đây, chúng tôi đã open source cho các đồng nghiệp sử dụng khi các yêu cầu về Proof-of-Reserves được tăng cường”
Về bản chất, các sàn sẽ tính toán tài sản của khách hàng trên trên ví sàn, trừ đi các khoản nợ của khách hàng và so sánh với các tài sản đang được lưu trữ on-chain. Nhiều tổ chức đã thực hiện điều này bằng cách công khai ví nóng/ ví lạnh của mình để cho người dùng có thể thấy họ đang có rất nhiều tài sản và có thể đảm bảo bất cứ khoản rút tiền nào.
Tuy vậy cách này không thể chứng minh được rằng rằng họ có nắm giữ 1:1 với tài sản người dùng nạp vào hay không? Ví dụ: A chuyển 1 BTC vào sàn X trị giá $20,000, sàn X thể hiện họ có 1 lượng tài sản trị giá $20,000 chứ không phải 1 BTC. Trong trường hợp gian dối, sàn có thể lấy 1 token khác để bù vào 1 BTC mà họ biển thủ. Chính vì vậy, để chứng thực điều trên, các sàn cần một bên thứ ba độc lập để kiểm toán như Mazars hay Armanino để loại bỏ khả năng dữ liệu dự trữ bị làm sai lệch.
Sàn Binance cho hay:
“Khi chúng tôi nói PoR, chúng tôi đang đề cập cụ thể đến những tài sản mà chúng tôi giữ cho người dùng. Điều này có nghĩa là chúng tôi đang đưa ra bằng chứng và chứng minh rằng Binance có quỹ bao gồm tất cả tài sản người dùng theo tỷ lệ 1:1. Chúng tôi không có nợ trong cấu trúc vốn của mình và chúng tôi đảm bảo rằng mình còn có quỹ khẩn cấp (SAFU) cho các trường hợp cực đoan.
Khi người dùng gửi một Bitcoin, dự trữ của Binance sẽ tăng ít nhất một Bitcoin để chắc chắn tiền của khách hàng được hỗ trợ đầy đủ. Điều quan trọng cần lưu ý là điều này không nằm trong các khoản nắm giữ của công ty Binance, chúng được lưu giữ trên một sổ cái hoàn toàn riêng biệt.”
Xác minh PoR bằng Merkle Tree
Phương pháp PoR phổ biến nhất hiện nay được sử dụng chính là Merkle Tree. Và để có thể chứng minh tài sản được lưu trữ 1:1, họ sẽ phải phân tách chúng thành từng loại tài sản. Điều này giúp việc xác minh nhanh hơn, và việc lưu chuyển tài sản trên chuỗi được tinh gọn nhất có thể. Ví dụ người dùng nắm giữ BTC, thì sẽ có PoR cho riêng BTC chứ không phải toàn bộ token khác mà họ sở hữu.
Chính vì vậy mà thời điểm gần đây, có những sự di chuyển lớn về BTC và ETH, mà theo CZ giải thích, chúng đang được sử dụng để phục vụ kiểm định PoR.
This is part of the Proof-of-Reserve Audit. The auditor require us to send a specific amount to ourselves to show we control the wallet. And the rest goes to a Change Address, which is a new address. In this case, the Input tx is big, and so is the Change. Ignore FUD! https://t.co/36wUPphIZk pic.twitter.com/2NkH5L5J9j
— CZ 🔶 BNB (@cz_binance) November 28, 2022
B1. Xây dựng Merkle Tree tài sản người dùng
Đầu tiên, kiểm toán viên sẽ chụp ảnh toàn bộ số dư tài khoản. Sau đó, cấu trúc hóa dữ liệu này thành Merkle Tree nhằm xử lý đơn giản hơn, cũng như hạn chế việc lộ số dư tài khoản của khách hàng.
Về cơ bản, dữ liệu số dư của người dùng được băm thành một “lá”. Một nhóm các “lá” này sau đó được băm để tạo thành một “nhánh” và một nhóm “nhánh” được băm để tạo thành “gốc”. Trong mỗi lớp cao hơn (lá < nhánh < gốc), số dư là tổng của hai số dư bên dưới và hàm băm là hàm băm của hai nút bên dưới.
Tiếp theo, sàn giao dịch sẽ gửi cho mỗi người dùng số dư và bằng chứng về số dư của họ. Ví dụ Charlie (xanh lá), sẽ nhận được các số là 1480 ETH (root, vàng), 1236 ETH, 70 ETH, và một ai đó cùng nhánh với mình có 164 ETH. Thông qua tính toán, Charlie có thể kiểm chứng mình có 1480 – 1236 – 70 – 164 = 10 ETH.
Bằng cách này, các sàn có thể chứng minh cho người dùng mình đã phân bổ token qua root (nếu chỉ cung cấp số dư là 10 ETH, thì Charlie sẽ không thể biết rằng thực sự tổng token sàn nắm giữ là bao nhiêu) và những người dùng khác cũng có thể đối chiếu tương tự, khiến không ai có thể thay đổi hoặc giả dối các con số.
Tuy nhiên, phương án này vẫn có khả năng rò rỉ dữ liệu người dùng. Ví dụ một hacker sở hữu nhiều tài khoản, vẫn có thể truy vấn ra được số dư tài khoản của nhiều người dùng khác và tự định hình ra được cấu trúc của Merkle Tree.
Một điểm hữu ích quan trọng của PoR Merkle là có khả năng loại bỏ số dư âm: điều gì sẽ xảy ra nếu một sàn giao dịch có 1390 ETH trong số dư của khách hàng nhưng chỉ có 890 ETH dự trữ và cố gắng gian lận bằng cách thêm số dư -500 ETH vào một tài khoản giả mạo ở đâu đó trong Merkle Tree, để cho người dùng nghĩ rằng tổng tiền gửi chỉ có 890 ETH? Giả sử rằng Henry là tài khoản giả do sàn giao dịch kiểm soát và đặt -500 ETH ở đó:
Lúc này, quá trình xác minh bằng chứng của Greta sẽ không thành công, bởi vì bằng chứng cô ấy nhận được sẽ biết rằng ai đó đang có số âm 500 ETH và ngay lập tức báo cáo gian dối. Eve và Fred cũng sẽ nhận ra vì nút trung gian phía trên Henry có tổng là -230 ETH. Do đó, để thoát khỏi hành vi trộm cắp, sàn giao dịch phải hy vọng rằng không ai trong toàn bộ nửa bên phải của cây kiểm tra bằng chứng số dư của họ.
Ngoài ra, bởi vì được thực hiện bởi bên thứ ba, việc sàn loại trừ những người dùng như Greta, Eve, Fred khỏi cây và đảm bảo những người này không bao giờ kiểm tra Merkle Tree là điều không thể.
Tuy nhiên, hiện nay, nếu người dùng đang sử dụng margin vay nợ từ sàn, số dư của họ vẫn có thể sẽ hiện thị là số âm (ví dụ người dùng sử dụng 1 BTC để vay 2 BTC thì số dư hiển thị là -1 BTC). Để cải thiện điều đó, trong tương lai, ZK-SNARK PoR, sẽ được áp dụng để chứng minh người dùng có đủ tài sản thế chấp đảm bảo cho khoản vay và hiển thị số dư dương trong tài khoản.
—–> Xem thêm về Merkle Tree và ZK-SNARK PoR tại đây.
B2. Xác định tài sản sàn nắm giữ
Bước này sẽ đơn giản hơn nhiều, kiểm toán viên chỉ cần xác định số tiền sàn có (BTC hoặc ETH) bằng hoặc lớn hơn số tiền hiển thị ở root thông qua các địa chỉ ví mà sàn công bố.
Có nhiều phương pháp khác nhau để xác minh quyền sở hữu của sàn đối với những địa chỉ ví này.
- Ký tin nhắn mật mã: Kiểm toán viên sẽ gửi cho địa chỉ ví một tin nhắn duy nhất để ký mật mã bằng cách sử dụng khóa riêng được liên kết của họ.
- Chuyển tiền theo hướng dẫn: Sàn giao dịch được giao nhiệm vụ thực hiện “chuyển tiền theo hướng dẫn”, trong đó ban quản lý sẽ chuyển một số tiền cụ thể từ khóa/địa chỉ công khai vào một thời điểm cụ thể và lấy hàm băm giao dịch để xác minh giao dịch được hướng dẫn tương ứng giao dịch trên chuỗi khối.
- Tìm kiếm địa chỉ trên blockchain explorer: Người kiểm tra cũng có thể tìm kiếm (các) địa chỉ ETH và BSC,…hay bất kì blockchain nào khác thông qua các công cụ như Etherscan, BSCscan,… và đảm bảo rằng các địa chỉ đã được gắn thẻ là thuộc về sàn giao dịch.
Nếu số dư khớp với các hình thức xác minh này, thì sàn giao dịch đã xác minh PoR thành công.
Hướng dẫn kiểm tra số dư trên Binance
- B1. Đăng nhập Binance
- B2. Ấn vào mục Wallet —> Audit
- B3. Kiểm tra tài khoản: Hiện tại người dùng có thể kiểm tra số dư của các loại tài sản bao gồm: BTC, ETH, BUSD, LINK, XRP, BNB, USDC, USDT, LTC
Ngoài ra người dùng có thể tự tay kiểm tra bằng chứng Merkle Tree (nâng cao), có thể làm theo hướng dẫn tại đây.
Hạn chế và giải pháp
PoR là cần thiết vì nhiều lý do. Đầu tiên, nó cho phép người dùng xác minh rằng số dư mà họ nắm giữ trên một sàn giao dịch tiền mã hóa có tài sản đảm bảo tuyệt đối. Thứ hai, nó thúc đẩy các doanh nghiệp đáp ứng các tiêu chuẩn minh bạch, khiến họ khó tham gia vào hoạt động tài chính đáng ngờ hoặc bất chính. Nói cách khác, PoR loại bỏ rủi ro của việc các công ty tối đa hóa lợi nhuận và các lợi nhuận có thể khác từ việc nắm giữ tài sản của khách hàng.
Lý tưởng nhất là PoR sẽ mang lại lợi ích cho cả người dùng và doanh nghiệp. Nó bảo vệ người dùng bằng cách giảm thiểu rủi ro đối mặt với trường hợp bị biển thủ tài sản. Đồng thời, nó giúp doanh nghiệp giữ chân người dùng bằng cách tăng độ tin cậy của bản thân.
Hạn chế
Dẫu vậy, dù đã thực hiện PoR, thì sàn giao dịch vẫn chưa thể hoàn toàn lấy được niềm tin của người dùng:
PoR không bao gồm nợ của doanh nghiệp
PoR không bao gồm các tài sản ngoài chuỗi hoặc bất kỳ khoản nợ nào của doanh nghiệp, ngoại trừ các khoản nợ liên quan đến tiền gửi của người dùng. Nó không cung cấp bất kỳ cái nhìn sâu sắc nào về khả năng đáp ứng các khoản nợ trong tương lai hoặc hoạt động liên tục của sàn. Sự thiếu hòa nhập này tạo ra một cảnh báo quan trọng đối với PoR — các chủ nợ khác có thể được ưu tiên cao hơn người gửi tiền nếu sàn phá sản.
PoR không đồng nghĩa việc rút tiền luôn trôi chảy 100%
Bởi lẽ khi quản lý khoản tiền khổng lồ, họ cần lưu trữ chúng một cách an toàn trong các ví lạnh hoặc bên thứ 3 khác, và chỉ duy trì một lượng tiền vừa đủ để đảm bảo việc nạp/ rút hằng ngày của người dùng. Vì vậy, khi có một tin xấu khiến lượng tiền rút ra tăng đột biến, việc thu hồi tài sản có thể bị gián đoạn do sàn phải di chuyển lượng tiền tích trữ của mình khỏi các “kho bảo quản”. Và những sự kiện như vậy có thể khiến uy tín của sàn hao hụt.
PoR không có giá trị real-time
PoR là chỉ xác minh tính chính xác của số dư dự trữ tại thời điểm kiểm toán được chỉ định, trong khi đó, số dư của một sàn giao dịch thay đổi khi người dùng chuyển tài sản của họ vào và ra. Trong thời gian không được kiểm toán, mọi vấn đề vẫn có thể phát sinh và sàn vẫn có thể tận dụng thời điểm này để thực hiện hành vi trái phép hoặc che dấu sự thật.
Đã từng có nghi vấn rằng Gate đã gian lận PoR bằng cách “nhờ” Crypto.com chuyển 320,000 ETH vào ví của mình trước khi kiểm toán, hay Huobi sau khi snapshot PoR đã chuyển lại 10,000 ETH cho Binance và OKX. Những hành vi đáng ngờ này có thể khiến kết quả PoR không còn đáng tin cậy.
Kết quả PoR phụ thuộc vào năng lực của bên thứ ba tiến hành kiểm toán
Điều đó có nghĩa là kết quả kiểm toán có thể thay đổi tùy vào thực lực của từng kiểm toán viên hoặc liệu họ có bị ảnh hưởng bởi lợi ích bên ngoài hay không. Trong bài phỏng vấn gần đây với CNBC, đứng trước câu hỏi “tại sao Binance không được kiểm toán bởi một trong những công ty Big Four?”, CZ trả lời rằng “các công ty này còn e sợ và không sẵn lòng kiểm toán cho một doanh nghiệp tiền mã hóa”.
Điều này là có cơ sở bởi lẽ Armanino, một công ty kiểm toán đã từng thực hiện PoR cho FTX, không lâu trước khi sàn này sụp đổ. Chứng tỏ kết quả này có vấn đề, hoặc chứng tỏ họ không đủ khả năng kiểm tra một công ty phức tạp như FTX.
Đứng trước áp lực này, gần đây, Armanino và Mazars cũng đã đình chỉ tất cả các dịch vụ liên quan đến bằng chứng dự trữ cho các sàn giao dịch crypto, khách hàng của họ bao gồm Binance, KuCoin, Crypto.com, OKX, Gate, … Khiến bỗng chốc kết quả PoR của rất nhiều sàn CEX trở nên vô giá trị.
Giải pháp cải thiện
Làm thế nào một sàn giao dịch tiền điện tử có thể cải thiện việc kiểm tra PoR của mình để xây dựng và duy trì lòng tin của người dùng?
Thường xuyên kiểm toán PoR
Nó có thể bắt đầu bằng việc rút ngắn khoảng thời gian giữa các lần kiểm toán để đảm bảo không có hoạt động tài chính đáng ngờ nào giữa các chu kỳ. Bên cạnh đó, chính quyền nên phát triển các luật pháp cụ thể để bắt buộc các sàn phải có báo cáo tài sản hằng ngày cho cơ quan quản lý.
Điển hình là Coinsquare, công ty đã đăng ký báo cáo với Tổ chức quản lý đầu tư Canada (IIROC), cho biết:
“Chúng tôi có nghĩa vụ chạy các báo cáo mỗi ngày để so sánh các khoản nợ của khách hàng so với tài sản trong kho lạnh. Đây là yêu cầu của chúng tôi khi đăng ký IIROC.”
Có các khoản dự trữ
Ben Sharon, người đồng sáng lập công ty quản lý tài sản kỹ thuật số Illumishare SRG, nói rằng “kiểm tra bằng chứng dự trữ vẫn là một bước khả thi để kiểm tra các sàn giao dịch tiền mã hóa, nhưng nó không đủ” và đề xuất các biện pháp khác, chẳng hạn như:
“Có một khoản dự trữ tiền mặt riêng, token được hỗ trợ bằng tài sản hoặc tốt hơn là có cả hai, bên cạnh chứng chỉ PoR. Điều đó sẽ cung cấp cho các nhà đầu tư một giải pháp tốt hơn nhiều.”
CZ, CEO Binance đã thực hiện khá tốt điều đó với 2 quỹ dự phòng là SAFU (quỹ cho các trường hợp khẩn cấp) và IRI (quỹ phục hồi ngành) với tổng giá trị 1 tỷ đô la cho mỗi quỹ.
Sử dụng ví tự quản thay cho ví sàn
Một giải pháp khác là phát triển ví tự quản lý (self-custodial wallet) trên các sàn tập trung thay cho ví sàn (custodial wallet)
Nhưng nó có một vấn đề nghiêm trọng là: điều gì sẽ xảy ra nếu người dùng quên mật khẩu, mất thiết bị, bị tấn công hoặc mất quyền truy cập vào tài khoản của họ?
Hiện nay các sàn giao dịch có thể giải quyết vấn đề này thông qua khôi phục e-mail và thậm chí nếu không thành công, các hình thức phức tạp hơn như thông qua KYC sẽ được áp dụng. Nhưng để có thể thực hiện điều đó, sàn giao dịch cần thực sự có quyền kiểm soát đối với các đồng tiền.
Mặc dù trong dài hạn, với các tính năng của account abstraction, ví tự quản lý có thể được nâng cao bảo mật và khả năng khôi phục thông qua đa chữ kí (multisig) và hồi phục xã hội (social recovery), nhưng trong ngắn hạn, đây là một lựa chọn cần sự đánh đổi giữa quyền kiểm soát tài sản và khả năng bị mất cắp.
Tổng kết
Trong bài viết trên, GFI đã giúp bạn hiểu rõ nhất về bản chất, cách hoạt động cũng như những mặt còn hạn chế của PoR. Mặc dù nó chưa thực sự hoàn hảo, tuy nhiên đây là những bước cần thiết đầu tiên để các sàn tập trung khôi phục niềm tin từ người dùng và xa hơn nữa là hoàn toàn minh bạch trong khuôn khổ của pháp luật.
Điều này không chỉ giúp cho thị trường tiền mã hóa phát triển ổn định trong lâu dài, mà thậm chí, nó còn có thể trở thành đầu tàu, một tấm gương mà nền tài chính truyền thống cũng phải noi theo. Không thể phủ nhận rằng công nghệ blockchain và các công nghệ khác về mật mã học đang từng ngày, chậm rãi mà vững chắc, thay đổi cách thế giới tiền tệ vận hành.
Nếu bạn thích bài viết này hay còn những suy nghĩ nào khác về Proof – of – Reserves, hãy comment xuống dưới cho chúng mình biết nhé!