La Proof of Reserves (PoR) è un audit che cerca di garantire che un depositario, ad esempio un CEX, detenga gli asset che i suoi clienti hanno nei loro conti presso il depositario.

Proof of Reserves è l'idea che le società di custodia che detengono criptovalute creino attestazioni rivolte al pubblico in merito alle loro riserve, abbinate a una prova dei saldi degli utenti.

L'audit per essere credibile dovrebbe essere condotto da una terza parte affidabile, un revisore indipendente, ma alcuni depositari effettuano la PoR in modalità self-assessment, ovvero le hanno fatto per conto loro con la pretesa di essere credibili.

L'idea è dimostrare al pubblico in generale, e in particolare ai tuoi depositanti, che le criptovalute detenute in deposito corrisponde ai saldi degli utenti. Naturalmente, in pratica, non è così semplice, la PoR può dare agli utenti un falso senso di sicurezza. Dimostrare di controllare alcuni fondi on-chain può essere semplice, ma questo potrebbe essere sempre fatto prendendo in prestito quei fondi a breve termine. Questo è il motivo per cui le attestazioni point-in-time significano relativamente poco. Inoltre, o i CEX possono avere passività nascoste o i creditori che rivendicano privilegi rispetto ai depositanti.

Pertanto, una piattaforma potrebbe utilizzare la PoR per apparire come un soggetto autoregolamentato e trasparente senza rivelare il suo vero rischio di solvibilità.

A volte la PoR viene presentata insieme alla PoL Proof of Liabilities.

Tecnicamente questo audit può essere fatto acquisendo un'istantanea anonima di tutti i saldi detenuti e aggregarli in un Merkle Tree, una struttura di dati rispettosa della privacy che incapsula tutti i saldi dei clienti.

Da questa, l'auditor ricava una Merkle root: un'impronta digitale crittografica che identifica in modo univoco la combinazione di questi saldi al momento della creazione dello snapshot.

L'auditor raccoglie quindi le firme digitali prodotte dal depositario, che dimostrano la proprietà degli indirizzi on-chain con saldi verificabili pubblicamente. Infine, l'auditor confronta e verifica che questi saldi superino o corrispondano ai saldi dei clienti rappresentati nel Merkle Tree e quindi che le attività del cliente siano detenute con riserva integrale.

Il Merkle Tree consente di verificare l'accuratezza di tutti i saldi incrociando solo alcuni saldi anonimi con quelli verificati. Ad esempio, qualsiasi utente può verificare se il suo vero saldo del conto è stato incluso nel Merkle Tree.

Una serie di verifiche di questo tipo può essere utilizzata per dimostrare l'accuratezza dell'intero albero, senza esaminare ogni singolo elemento.

Sebbene la soluzione incorpori elementi della tecnologia blockchain, richiede comunque fiducia nei revisori dei conti di terze parti e nelle pratiche contabili che valutano le attività off-chain, e ogni cliente dovrebbe poter verificare in modo indipendente che il proprio saldo sia stato incluso nell'audit Proof of Reserves confrontando dati selezionati con la Merkle root. Qualsiasi modifica apportata al resto dei dati, per quanto piccola, influirà sulla root hash; rendendo evidente la manomissione.

Dimostrare le passività è complicato e generalmente richiede che un revisore si impegni in una valutazione completa. Ad esempio, i CEX possono omettere determinate responsabilità per "imbrogliare" un'attestazione PoR.