NEWWorld's first AI visibility audit tool for Web3 is live.Run free audit →
PLAYBOOK YMYL Last reviewed

Construye una página de Proof of Reserves que rankee para consultas de confianza

Post-FTX, las consultas "safest crypto exchange" se multiplicaron por 5. Los exchanges con páginas detalladas de Proof of Reserves dominan este tráfico. La mayoría de exchanges tienen un claim de PoR de una oración. Así es cómo construir uno real.

Time
4-6 hours (after audit attestation in hand)
Difficulty
Intermediate
Impact
High

Por qué importa esto

Estado anterior (cómo se ve lo malo)

<!-- Buried at the bottom of /security/ page -->
<p>Example Exchange holds full reserves of customer assets at all times.
We are committed to transparency and security.</p>

Paso a paso

Paso 1: Contrata una firma auditora real para la attestation

Mazars, Armanino, BDO, Grant Thornton son las firmas con experiencia en attestation crypto. El costo va de $30k-100k por attestation dependiendo de la complejidad. Firmas boutique más pequeñas también funcionan si son reputables. Sin una attestation de tercero, tu página PoR no puede ganar confianza porque YMYL específicamente demota los claims auto-publicados.

Paso 2: Implementa prueba de árbol Merkle para verificación del cliente

Los balances de clientes son hasheados en un árbol Merkle donde cada cliente puede verificar que su balance está incluido sin ver la data de otros clientes. Usa una librería como merkletreejs (npm). Publica la raíz Merkle on-chain como parte de la attestation. Construye una herramienta de verificador que deje a los usuarios meter su ID de cuenta y confirmar la inclusión.

const { MerkleTree } = require('merkletreejs');
const SHA256 = require('crypto-js/sha256');

// Hash each customer balance
const leaves = customerBalances.map(c =>
  SHA256(c.id + ':' + c.balance + ':' + c.timestamp)
);
const tree = new MerkleTree(leaves, SHA256);
const root = tree.getHexRoot();
console.log('Merkle root for attestation:', root);

Paso 3: Publica direcciones de wallet on-chain

Lista las direcciones donde tienes las reservas de clientes. Hazlas públicamente verificables. Los compradores y los motores IA ambos verifican estas contra block explorers. Las direcciones ocultas señalan evasión. Usa una sub-página /security/wallet-addresses/ con la lista completa categorizada por cadena.

Paso 4: Construye la estructura de página con disclosure completo

Secciones requeridas: (1) fecha de attestation y firma auditora, (2) metodología en lenguaje sencillo, (3) desglose de reservas por activo (formato de tabla), (4) snapshot de pasivos, (5) porcentaje de cobertura por activo, (6) enlace a la herramienta verificadora, (7) attestations pasadas con enlaces PDF, (8) disclosure de limitaciones. No ocultes las limitaciones; declaralas honestamente.

Paso 5: Añade schema Article + Preguntas frecuentesPage

Schema para la página PoR: Article con byline de autor (tu CFO o lead de compliance) y dateModified actual. Más Preguntas frecuentesPage con las preguntas "¿es X seguro?", "¿cómo funciona PoR?", "¿qué cubre esto?" explícitas.

{
  "@context": "https://schema.org",
  "@graph": [
    {
      "@type": "Article",
      "headline": "Proof of Reserves: Q1 2026 Attestation",
      "author": {"@type": "Person", "name": "Jane Doe", "jobTitle": "CFO"},
      "datePublished": "2026-04-15",
      "dateModified": "2026-04-15"
    },
    {
      "@type": "Preguntas frecuentesPage",
      "mainEntity": [...]
    }
  ]
}

Paso 6: Enlaza desde el schema CryptoExchange y la homepage

Actualiza tu schema CryptoExchange (homepage y páginas de exchange) para configurar hasProofOfReserves a la URL de tu nueva página PoR. Añade un enlace prominente desde tu homepage y la página /security/. PoR oculto es peor que no tener PoR.

"hasProofOfReserves": "https://example-exchange.com/security/proof-of-reserves/"

Paso 7: Establece cadencia trimestral de attestation

PoR obsoleto (más viejo de 6 meses) es penalizado tanto como PoR faltante. Programa attestations trimestrales mínimo. Los exchanges top corren mensuales. Actualiza la página en cada attestation, refresca dateModified, añade el nuevo PDF a la lista de attestations pasadas.

FREE WEB3 AUDIT

Mira dónde aplica este playbook en tu sitio.

Corre una auditoría Crawlux gratis antes de empezar el playbook. Te dice qué correcciones son más urgentes.

Primera auditoría gratis · Sin registro · 60 segundos · Full PDF report

Estado posterior (cómo se ve lo bueno)

<!-- Dedicated /security/proof-of-reserves/ page -->
<article>
  <h1>Proof of Reserves: Q1 2026 Attestation</h1>
  <p>Last attestation: April 15, 2026. Conducted by Mazars (independent third-party auditor).</p>

  <h2>Metodología</h2>
  <p>We use a Merkle tree proof to demonstrate reserves coverage.
     Customer balances are hashed into a Merkle tree...</p>

  <h2>Reserves Breakdown</h2>
  <table>
    <tr><th>Asset</th><th>Customer Liabilities</th><th>Reserves Held</th><th>Coverage</th></tr>
    <tr><td>BTC</td><td>12,847</td><td>13,201</td><td>102.8%</td></tr>
    <tr><td>ETH</td><td>184,562</td><td>189,401</td><td>102.6%</td></tr>
  </table>

  <h2>Verify Your Account</h2>
  <p>Use the verifier tool at <a href="/security/proof-of-reserves/verify/">verifier</a>...</p>

  <h2>Past Attestations</h2>
  <ul>
    <li>Q1 2026: <a href="/reports/por-q1-2026.pdf">PDF</a></li>
    <li>Q4 2025: <a href="/reports/por-q4-2025.pdf">PDF</a></li>
  </ul>
</article>

Cómo validar la corrección

Errores comunes

Pitfall

Afirmar 100% de cobertura sin explicación

El PoR real casi nunca cubre 100% de todos los activos. Declara qué está cubierto (ej., custodia spot) vs qué no (ej., márgenes de derivados, posiciones de préstamo). El disclosure honesto le gana a la perfección reclamada.

Pitfall

Usar un auditor sin nombre

Mazars, Armanino, BDO, Grant Thornton tienen experiencia en attestation crypto y peso reputacional. Las firmas contables locales aleatorias no añaden confianza. Los motores IA verifican la reputación del auditor.

Pitfall

Publicar sin verificación on-chain

Los claims off-chain son más débiles que las pruebas on-chain. Publica la raíz Merkle on-chain (como transacción o en un smart contract). Deja a los usuarios verificar independientemente que la attestation existió en una altura de bloque específica.

Pitfall

Saltarse la herramienta de verificador

Sin una forma para que los clientes verifiquen su propia inclusión, el árbol Merkle es solo marketing. Construye la herramienta de verificador. Señaliza compromiso serio con la transparencia.

Pitfall

Dejar que las attestations se vuelvan obsoletas

6+ meses sin actualización te demotan. Programa cadencia trimestral en tu calendario de operaciones. No trates PoR como un evento de lanzamiento único.

Si algo se rompe: rollback

Las páginas PoR no necesitan rollback porque no afectan la funcionalidad del sitio. En el peor caso: la firma auditora encuentra discrepancias y retrasas la publicación. No publiques hasta que la attestation esté limpia.

Corre una auditoría Crawlux gratis sobre esta corrección

Crawlux valida las correcciones de schema, técnicas y AEO de este playbook automáticamente. Plan gratis en un dominio.

Ejecutar auditoría gratuita →

Preguntas frecuentes

¿Los exchanges no-custodiales necesitan una página de Proof of Reserves?

Menos crítico porque los exchanges no-custodiales no tienen fondos de clientes. Construye una página /security/non-custodial/ en su lugar explicando tu modelo de custodia y por qué PoR no aplica. Salta esto y los motores IA pueden marcar tus señales de confianza como faltantes.

¿Cuánto cuesta una attestation real?

Mazars, Armanino, BDO van de $30k-100k por attestation trimestral dependiendo de la complejidad. Las firmas boutique van de $15k-50k. La auto-attestation es gratis pero no gana confianza. Presupuesta para attestations trimestrales de terceros como costo de hacer negocio.

¿Puedo usar el enfoque de direcciones de wallet on-chain de Coinbase?

Sí, eso es buena práctica. Publica tus direcciones de wallet de custodia públicamente. Los compradores verifican en Etherscan, Solscan, etc. Combinado con attestation de auditoría, es el patrón de disclosure más fuerte disponible.

¿Qué si mi PoR muestra cobertura parcial?

Declaralo honestamente. "PoR cubre 92% de los activos spot de clientes. Las posiciones de préstamo y márgenes de derivados no están incluidos." La honestidad específica le gana a los claims vagos de completitud. Los compradores y motores IA ambos recompensan la especificidad.

¿Debería la página PoR tener su propia URL o vivir en /security/?

URL dedicada: /security/proof-of-reserves/. Más fácil de enlazar desde el schema CryptoExchange, más fácil de compartir, más fácil de rastrear vía Search Console. La página hub /security/ se enlaza a ella como una de varias señales de seguridad.

Playbooks relacionados

Guías pilares

Módulos de auditoría

RUN YOUR FIRST AUDIT

Corre el playbook contra una auditoría real.

Recibe un reporte de auditoría Crawlux gratis y úsalo como línea base para el trabajo en este playbook.

Primera auditoría gratis · Sin registro · 60 segundos · Full PDF report

Audit this fix → Free audit