作者:HY & Dante,DeepSafe Research
自加密货币横空出世以来,交易所和资管平台便始终是这个大赌场中最重要、最火热、最受争议的角色。这些平台巧妙的成为了中心化和去中心化世界之间的节点,既承担着巨量的用户需求,却又因权力过大而备受争议。
从 2014 年的门头沟到 2022 年的 FTX,乃至于现在的币安和 OKX,围绕着交易所的舆论抨击几乎从未消失。随着市场竞争的日渐剧烈和监管措施的收紧,以及 Hyperliquid 等链上平台的崛起,中心化交易所与资管平台的压力可谓空前巨大。在内忧外患云集的背景下,币安等大平台正在以肉眼可见的速度进行整改,以应对用户需求的转变。
然而,这些大平台虽然变得越来越守序,越来越和善,但在缺乏掣肘的上轮周期,他们犯下的罪孽可谓罄竹难书。在今天的这篇文章中,DeepSafe Research 将以单纯的中立视角,为大家复盘那些比较典型的中心化平台做恶案例。
这些平台中包括曾将 12 亿美元豪掷 FTX 的 BlockFi、创始人独自掌管冷钱包私钥的 QuadrigaCX、借着软银投资作为噱头后来跑路的 ZT、频繁挪用用户资产的 HTX 和 Poloniex、借高杠杆实现高 APY 的赌徒 Celsius、创始人下场亲自骗投资者的 Bithumb。
这些案例无一不在控诉着中心化平台之恶和权力过大带来的危害。在这个链上平台逐渐掌握更多话语权的当下,回看那些中心化势力犯下的滔天罪行,我们更应该珍视那些坚首去中心化价值观的先行者,正因为有了他们的存在,我们才得以在一个逐步成熟、渐趋完善的 Web3 世界中遨游。如果我们失去了对信任最小化的坚持与信仰,那么这个由无数先辈的努力换来的美好今天终将荡然无存。
(注:本文由 DeepSafe Research 原创,仙壤授权转发)
Cefi 平台 BlockFi——无视风险警告 12 亿美元豪赌 FTX
BlockFi 成立于 2017 年,由 Zac Prince 和 Flori Marquez 在美国创立,作为一家 CeFi 借贷平台,BlockFi 通过高收益储蓄账户吸引用户存款,再将用户存入的资金借给机构或置入 DeFi 协议,从中赚取利差。得益于 DeFi 之夏时市场对高收益加密货币理财产品的需求,BlockFi 一跃而起,在 2021 年 3 月时以 30 亿美元估值完成了 3.5 亿美元融资。
巅峰时期的BlockFi资管规模超 150 亿美元,拥有 60 多万用户,每月营收约 1000 万美元,日交易量峰值达 6700 万美元。另外,BlockFi 还于 2021 年投资了灰度比特币信托(GBTC),持仓价值最高达 17 亿美元。
然而,BlockFi 的业务模式本身具有极高风险,作为一家中心化借贷平台,它把资金大量外借给 Web3 业内的其他机构,然而这些机构本身并没有受到充分监管。一旦市场行情下行,这些债务人很可能无法偿还贷款,而作为债权人的 BlockFi 也会因此受到牵连。
2021 年大牛市时,BlockFi 因为对未来走势过于乐观,采取了非常激进的扩张策略,不计后果的将资金大量借出,其中就包括将 10 亿美元借给臭名昭著的三箭资本。2022 年 5 月,LUNA 归零,三箭资本因重仓 LUNA 宣告破产,BlockFi 受到牵连,出现流动性危机。
为此,BlockFi 在当年 6 月寻求外援,最终 FTX 为 BlockFi 提供了 4 亿美元的循环信贷额度,并达成一项潜在收购协议,收购价最高为 2.4 亿美元。这笔交易暂时稳定了 BlockFi 的财务状况,还因 FTX 的背书效应增强了用户对 BlockFi 的信心。
根据事后 BlockFi 的律师在破产听证会上表示,FTX 的“救援”让 BlockFi 在 2022 年夏季得以维持运营,而同期 Celsius、Voyager 等竞争对手已相继破产。然而,这一救援计划却将 BlockFi 与 FTX/Alameda 更紧密地捆绑在一起,为后续的灾难埋下了伏笔。
2022 年 11 月 FTX 暴雷,BlockFi 因与 FTX 及 Alameda Research 存在绑定关系而深陷危机,它对 Alameda 的 6.8 亿美元贷款违约,且有 3.55 亿美元的资产冻结在 FTX 平台。此外,BlockFi 从 FTX 获得的 2.75 亿美元信贷额度也因后者破产变得毫无价值,这些财务上的关联导致 BlockFi 资产负债表上出现 13 亿美元的缺口。最终,BlockFi 成为了这场风暴的牺牲品之一。
根据事后的破产文件显示,BlockFi 的最大债权人包括 Ankura Trust(7.29 亿美元)、FTX US(2.75 亿美元),甚至还有美国 SEC(3000 万美元)。从2020 年起,BlockFi 向 Alameda 提供贷款,支持其量化交易,2021 年牛市中BlockFi 面向 FTX 的贷款规模增至 8.313 亿美元,主要以 FTT 代币为抵押,同时 BlockFi还将 4.159 亿美元资产存放在 FTX 平台赚取收益。
对于上述行为,BlockFi 管理层基本无视敞口过度集中的风险,尽管 CEO Zac Prince 在 2022 年初就收到内部团队关于 FTT 抵押贷款风险的警告,但 Zac Prince 并未采取有效措施,反而在当年 6 月重新向 Alameda 发放了近 9 亿美元的贷款,几乎全部以 FTT 作为抵押物。
2022 年 11 月 FTX 暴雷,FTT 暴跌,BlockFi 手上的 FTT 抵押品几近归零,加之有 4 亿多美元的资产被冻结在 FTX 平台,BlockFi 资产负债表总计出现约 12 亿美元的缺口,这直接导致 BlockFi 流动性枯竭。
2022 年 11 月 10 日,BlockFi 宣布暂停客户提款,承认其对 FTX 和 Alameda 存在“重大敞口”,这一声明引发了巨大恐慌,许多人发现自己无法从该平台提走资金。11 月 28 日,BlockFi 正式向新泽西州法院申请破产保护,披露其拥有超过 10 万名债权人。
BlockFi 暴雷事件对加密行业的影响非常深远。首先,BlockFi 的破产暴露了 CeFi 平台的高度关联风险。传统银行需遵守《巴塞尔协议》等标准、持有最低资本和流动性以应对风险,然而,CeFi 平台在 2017-2022 年间未受类似法规约束,监管空白让它们得以激进扩张。BlockFi 暴雷后,人们对 CeFi 平台缺乏信心,某种程度上也促进了 DeFi 的进一步发展。
其次,BlockFi 的客户中有 73% 的账户余额低于 1000 美元,个体投资者是主要受害者。虽然在 2023 年 10 月,BlockFi 从破产中走出,开始向客户偿还资产,但客户的回收率最低仅为 39.4%,许多人面临永久损失。
2024 年 6 月,BlockFi 关闭官网,彻底停止运营。曾经的行业顶流,如今只剩一地鸡毛,成了 CeFi 信任危机的凄惨注脚。
QuadrigaCX 最早由毕业于约克大学商学院的 Gerald Cotten 创立,彼时的 Cotten 敏锐捕捉到比特币的潜力,于 2013 年和 Michael Patryn 共同创立了 QuadrigaCX,该平台是加拿大最早的加密货币交易所之一,靠着低费用、多币种、便捷的本地服务迅速起家。
2014 年,QuadrigaCX 推出了加拿大第二台比特币 ATM,并获得加拿大反洗钱机构 FinTRAC 的许可,增强了市场信任。到了 2017 年牛市,QuadrigaCX 交易量激增,年度处理近 14.4 亿美元交易量,拥有 36 万注册用户,日均交易量峰值超 3600 万美元,成为加拿大最大的交易所。
然而,QuadrigaCX 始终缺乏足够的监管,并且存在严重的中心化控制,这为其后续的跑路事件埋下隐患。2016 年,QuadrigaCX 相关的其他董事辞职,Cotten 成为唯一负责人,也是唯一的资产管理者,平台运营全靠其个人负责。
2019 年 1 月 14 日,QuadrigaCX 官方称 Cotten 在印度意外身亡,平台随即进入维护模式,停止交易和提款。1 月 31 日,QuadrigaCX 申请债权人保护,披露对 11.5 万名客户欠款约 1.8 亿美元。2 月 5 日,法院指定全球四大审计公司之一的安永为 QuadrigaCX 破产案的指定受托人和监督人,负责调查、追回资产和清算债务。
调查显示 QuadrigaCX 平台仅剩 2059万美元资产,缺口高达1.6亿美元。此事几乎成为了 Crypto 历史上最臭名昭著的丑闻之一。
根据安永 2019 年的破产报告显示,Cotten 从 2016 年起利用客户存款进行高风险个人交易,挪用资金高达1.21 亿美元。他以化名如“Chris Markay”等,在 QuadrigaCX 内部创建虚假账户,凭空购买加密货币,再将这些资产转移到其他交易所。
报告显示,Cotten 转移了约 9450 个比特币、38.77 万个以太坊和 23.9 万个莱特币,总价值数亿美元。此外,他还将约 2000 万美元用于购买私人游艇、私人飞机和 16 处房产。对此,安大略证券委员会(OSC)在 2020 年报告称,“QuadrigaCX 是一个披着现代金融科技外衣的庞氏骗局,用新客户的存款满足旧客户的提款需求”。
事后,社交媒体上充斥着对 Cotten“诈死跑路”的猜测,甚至有债权人要求开棺验尸以确认其死亡。加拿大皇家骑警(RCMP)和美国 FBI 均对此事介入调查,但至今未完全解开资金去向之谜。
QuadrigaCX 的崩盘对加密行业产生了深远影响。首先,它暴露了中心化交易所的监管空白,QuadrigaCX 未在加拿大证券监管机构注册,Cotten 的欺诈行为多年都未被发现。其次,Cotten 一人掌控私钥,缺乏备份或应急机制,用户资产随时都可以被挪用。再者,76,319 名债权人平均损失约 2000 美元,大幅动摇了市场信心。
2023 年 3 月,安永宣布以 2019 年估值向债权人支付 13% 的初步股息,总额约 2880 万美元,但多数用户仅收回一小部分资金。可以说,Cotten 的行为不仅是人性之恶的体现,也是对中心化托管这种资管模式的责难。归根结底,任何人或单一实体都不值得信任,如果没有可靠的技术手段对单一实体的作恶场景进行最大程度的限制,“平台跑路”“Rug”的发生也只是时间问题而已。
ZT 交易所——“软银投资”光环下的监守自盗
曾经小有名气的三线交易所ZT 成立于 2018 年 7 月。该交易所早期凭借官方宣称的“每秒 13 万笔”的高效撮合系统、银行级风控和便捷的 OTC 服务迅速崛起。2019 年初,ZT 覆盖了 150 多个国家,用户突破百万,日活用户高峰时达 9000+,日交易额超 24 亿美元。2020 年,ZT 在非小号 APP 的全球交易所排名中位列 12。2021 年初,ZT获得了软银 UK的数百万美元投资,据悉这也是软银 UK 在区块链领域的首笔投资,ZT 因此风光无限。
之后 ZT 一路高歌猛进,推出了 EVM 兼容的区块链 Zenith Smart Chain(ZSC),基于 Tendermint 共识设计。 ZT 还引入了“自助上币”机制,项目方拥有 1000 名经验证的社区用户即可上币,最终 ZT 平台累积了超 800 种低市值山寨币,成为小币种交易的热门平台。此外,ZT 还新增了质押、杠杆代币、P2P 交易和“周五抽奖”等功能,吸引了大量散户参与。
但是,ZT 的快速扩张依赖于小币种的高波动性交易,这些代币风险极高,容易引发市场操纵。根据用户反馈,ZT 的 KYC 验证复杂,此外如 LINK、MATIC 等部分代币曾无法提币。而在2023 年,随着市场低迷,ZT的表现急转直下,当年7 月 28 日,ZT 官方宣布进行系统升级维护,平台内所有交易功能均被停止,用户既无法提币也无法联系客服,连官方 Telegram 频道也被禁言。种种迹象表明,ZT 交易所运营团队已经跑路。
7 月 31 日晚,沉寂多日的 ZT 官方突然发布公告称维护已完成,交易功能恢复。但用户登陆后发现,平台内各代币对的深度几乎为零,仅需几十美元的买单便可将平台上的 BTC 价格推高 1 倍多。显然 ZT 交易所内流动性已经枯竭,这一反常现象坐实了 ZT 已无人看管、卷款跑路的传闻。
从公开信息看,ZT 的跑路手法与一些小交易所类似:先以“系统维护”为由突然关闭提币通道,待用户无法取出资产,项目方再把冷钱包中的储备金快速转移。期间 ZT 的社媒和客服全部静默,对用户的投诉置之不理。至舆论发酵几天后,ZT 官方再抛出“系统升级已完毕”的幌子试图蒙混过关,但此时只要是正常人都看得出来交易所已经跑路。
事后有部分中国用户尝试报警或通过民间途径追款,但由于交易所注册地和团队人员均在境外,维权极度困难。在中国大陆,由于加密货币交易并不受到法律保护,用户往往难以通过法律途径索赔,只能自担损失。
虽然 ZT 获得了软银 UK 的投资,本应意味着有更强的信誉,但从结果来看,投资人的光环并未给 ZT 用户带来保障。此前据吴说区块链报道,ZT 曾多次与投资人纠纷并受到媒体关注,甚至一度惊动警方介入调解。
根据报道,有受害者称 ZT 交易所主体公司是杭州浩浪信息科技有限公司,也是 ZT 挂名的 CEO,而ZT 交易所的注册资料全是虚假的,公司地址经核实是毛坯房。经常有用户维权报案的事件发生。
可以说,ZT 的倒闭暴露了小交易所身上常见的资金挪用和技术治理缺失问题。一方面,ZT 可能挪用了用户资产并因此出现资金缺口,最终在市场低迷时资不抵债跑路。另一方面,平台在技术上缺乏透明的资产证明,用户全权信任中心化平台,这种单纯基于信任的托管模式迟早会爆发危机。
孙宇晨系交易所——挪用用户资产,风控形同虚设
孙宇晨曾收购的Poloniex 交易所成立于 2014 年,很久以前曾是美国本土的主流交易所之一,以低费用、多币种和杠杆交易在 2017-18 年牛市中崭露头角。最辉煌的时候,Poloniex 所内日交易量超过 10 亿美元,全球排名前 5。2018 年,该交易所被 Circle 以 4 亿美元收购,进一步提升了影响力。
然而,随着监管压力的到来,Poloniex 市场份额快速下滑。2019 年 Poloniex 脱离 Circle,由孙宇晨支持的 Polo Digital Assets 接管。除 Poloniex 外,孙宇晨还收购了火币(HTX)。自 2021 年以来,孙宇晨旗下交易所持续性爆出丑闻:
2021 年,有报道称孙宇晨在接管 Poloniex 后开展了名为“沙发垫行动”的操作,他要求 Poloniex 员工将用户错发到错误地址的加密资产据为己有。据称,孙宇晨命令员工将这些“无人认领”的比特币收入自己腰包,累计超 1000 万美元。
Poloniex 内部员工对此表示异议,担心有犯罪风险,但孙宇晨仍坚持执行。这一指控最初由《The Verge》于 2022 年 3 月曝光,孙宇晨对此否认,称该报道“虚构故事”,但他并未能提供令人信服的反证。
而孙宇晨入主火币后也是争议不断。2023 年 8 月,社区质疑火币挪用用户资产投资于孙宇晨推出的 stUSDT 产品。链上数据显示,Huobi 将用户存入的大量 USDT 兑换成孙宇晨系的 USDD,或投入波场上的 DeFi 平台 JustLend。孙宇晨对此予以否认,声称用户资产 100% 安全,但并未能消除质疑。
2023 年 11 月,Poloniex 交易所发生重大安全事故,约 1.14 亿美元加密资产被黑客盗走。孙宇晨在推特上承认此事,提出愿意让黑客留取 5%(约 650 万美元)的赃款作为报酬,只要其在 7 天内归还剩余资金。然而如此大规模的被盗案,足以说明 Poloniex 在安全和风控上存在严重隐患。尽管孙宇晨试图以悬赏挽回损失,但资产是否追回仍未可知。
综合上述事件,我们可以看到孙宇晨系交易所在经营上存在一些共性问题:
挪用用户资产:从“沙发垫行动”到转移用户资产购买 stUSDT,皆显示孙宇晨有利用交易所可支配得用户资产来实现个人目的,这种行为实质就是严重犯罪。
技术及风控漏洞: Poloniex 被盗事件表明其安全措施不到位,钱包管理存在缺陷。而 HTX 在短期内将巨额资金转出投资 DeFi,也反映出平台风控机制缺失。正常情况下,用户理财资金不应轻易转移离开交易所,孙宇晨团队在风险管理上的能力和诚意都有问题。
当然上述行为不可能不受到有关当局的注意。Poloniex 就曾因违反美国制裁规定,在 2022 年被 OFAC 罚款。此外,HTX 挪用资金事件已经引起执法机关警觉,2023 年 8 月有消息称,中国公安机关调查 HTX 相关高管涉及非法资金流动,未来不排除孙宇晨关联交易所因用户资产纠纷在司法层面面临更多诉讼。
孙宇晨系交易所案例说明,交易所应当削弱个人或单一实体对平台的影响,尤其是涉及到巨额资金托管时。如果无法对创始人或团队可能存在的徇私舞弊行为进行限制,用户将永远没有安全感可言。
Celsius Network——高杠杆的赌徒
Celsius Network 是一家成立于 2017 年的加密货币借贷理财平台,由 Alex Mashinsky 等人创建。该平台高峰时号称有 170 万用户,资管规模近 120 亿美元 。Celsius 曾以高达 17% 的 APY 收益吸引投资者,自诩为取代传统银行的范式创新。
然而 Celsius 的自我膨胀没能持续太久。2022 年加密市场转熊,5 月 Luna—UST 崩盘,Celsius受到冲击,被传出现流动性压力,但官方对此迅速否认。 2022 年 6 月 7 日,Celsius 在官网回应谣言称公司并未因投资失误而出现亏损,也没有流动性危机,坚称“一切安好”。
然而仅五天后,剧情便迎来巨大反转。2022 年 6 月 12 日,Celsius 突然以“极端市场状况”为由停止所有提现功能,用户在平台上的数十亿美元资产瞬间被冻结。仅一个月后,名噪一时的 Celsius 就正式申请破产,破产文件显示公司负债约 55 亿美元,其中欠客户约 47 亿美元。
从事后看,Celsius 的倒闭源于高风险的业务模式与不透明的管理。一方面,Celsius 承诺给用户以高额利息,但高 APY 的实现方式是将资金用于复杂且风险极高的再投资,这种多重杠杆策略在行情下跌时容易巨亏。有报告称,Celsius 在某些交易中亏损了数亿美元 。
另一方面,管理层对外刻意隐瞒真实的财务状况。创始人在平台陷入亏空时,仍对公众宣称公司稳健,继续吸纳新存款,实质形成了庞氏循环来填补漏洞。当 2022 年 6 月市场进一步下行时,Celsius 终因资不抵债而关门。业务模型不可持续、内部风控缺失甚至涉嫌欺诈,是 Celsius 暴雷的根本原因。
Bithumb 交易所——欺骗投资者,内斗不断
除上述平台外,近年来还有诸多二三线交易所发生过暴雷或恶性事件,例如 BitZ、Coinbene、LBank、Bibox 等。这些平台有的在中国小有名气,有的在东南亚市场占据一席之地,但因为规模和实力有限,这些小平台在风险来临时十分脆弱,其中韩国的 Bithumb 就颇具代表性。
Bithumb 成立于 2014 年,一度是韩国最大交易所之一,市场份额仅次于 Upbit。然而 2017 年以来,Bithumb 历经多次黑客盗窃和内部权斗事件,屡上新闻头条。虽然 Bithumb 尚未彻底倒闭,但其暴雷风险一直高悬。
2017 年 6 月,Bithumb 爆出黑客入侵事件,约 3.1 万名用户的个人资料泄露,黑客据此诈骗用户,造成当时约价值上百万美元的损失。2018 年 6 月,Bithumb 再次被黑客盗走约 3150 万美元。Bithumb 随后暂停提币并进行整顿。虽然官方称之后追回部分资产并自掏腰包弥补用户损失,但其形象仍严重受挫。
2018 年下半年,新加坡 BK 集团主席金炳倛(Kim Byung-gun)宣布拟收购 Bithumb 过半股份,交易对价约 4 亿美元。双方约定发行一种名为 BXA 的平台代币,并在 Bithumb 上线交易,作为收购的一部分。BK 集团据称向 Bithumb 实控人李正勋支付了约 1 亿美元的预付款。
然而该收购最终未获监管批准,加之 BK 未如期支付剩余款项,收购案告吹。最终 Bithumb 未上线 BXA 代币,导致 BXA 的早期投资者蒙受巨额损失。2020 年,金炳倛在韩国起诉 Bitumb 前董事长李正勋,指控后者涉嫌诈骗,谎称会上线 BXA并骗取预付款。
韩国检方以涉嫌欺诈约7000 万美元对李正勋提起公诉,并求刑 8 年。此案一审判决一再推迟,直到 2023 年 1 月首尔法院宣判李正勋无罪,理由是欺诈罪证据不足。李正勋逃过刑事处罚,但 Bithumb 因 BXA 事件声誉大损,陷入长期法律纠纷。
BXA 案尚未平息,Bithumb 内部又爆出新的丑闻。2022 年下半年,另一实际控制 Bithumb 的势力姜氏兄妹浮出水面。据调查姜宗贤及其妹姜志妍通过层层控股已掌握 Bithumb 相当股份。10 月韩国检方对 Bithumb 关联公司如 Vidente、Inbiogen 等搜查,调查姜氏兄妹涉嫌通过关联公司操纵股价、侵占公司资金。
当年 12 月 30 日,Bithumb 最大股东 Vidente 公司副社长朴某在接受检方调查时从自家公寓坠楼身亡。
朴某是姜氏兄妹涉嫌挪用公款和操纵股价案中的关键嫌疑人、财务负责人。有传言称朴某自杀是因不堪主犯嫁祸压力,这起事件引发韩国社会哗然。2023 年 2 月,姜宗贤因涉嫌横夺公司财产、欺诈等被首尔检方正式逮捕起诉。可以说,Bithumb 在内部治理上已经陷入极度混乱,存在严重的公司治理失败和利益纠葛。
经过多轮风波,Bithumb 目前仍在运营,但市场份额已大不如前,其业务更多局限于韩元法币交易。公司股权多次挂牌出售均未成功,内斗使得收购方却步。
Bithumb 的经历反映出中型交易所常见的一些问题,首先是在安全风控方面的投入不足。 其次内部成员的内斗反映出该公司缺乏妥善的治理措施。而 BXA 事件则说明该交易所缺乏对用户的保障。其实无论交易所大小,都应遵循基本的准则:保障用户资产独立、加强安全与风控、提升治理透明度。中小平台尤其要主动接受审计与监管,提高自身可信度。
not your keys,not your coin
中心化平台的暴雷和安全风波如同一面面棱镜,折射出了大量深层风险。上述四个案例仅是冰山一角,实际上发生在 Web3 领域的暴雷事件数不胜数:Voyager Digital 曾因向三箭资本过度集中放贷引发流动性崩盘,最终仅能返还 35% 的用户资产;Babel Finance 因豪赌自营交易亏损 2.8 亿美元,客户资金遭挪用酿成挤兑;而 FTX 和门头沟的案例更是人尽皆知。
梳理这些案例,我们发现,尽管每起事件表象各异,有的是黑客攻击、有的是内部欺诈、有的是高风险经营失败,但共同点在于:中心化平台的权力过度集中,缺乏有效的制衡措施。一旦平台在某些环节上失控,其带来的破坏性极大。由于用户往往过度信任平台,难以察觉潜在风险,当危机发生之时基本已无法挽回损失。
事实证明,与其迷信平台背景或创始人的声望,不如相信那些单纯依靠技术手段来实现自托管和 Trustless 的平台。在未来的文章中,DeepSafe Research 将以具体的案例,向大家阐明,真正免信任的资产托管方式该如何实现,真正安全可靠的平台应该具备哪些条件。敬请期待!
【免责声明】市场有风险,投资需谨慎。本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资,责任自负。