NEW EVENT
最新活動
幣安
HOT ARTICLES
熱門文章
幣圈人對這張照片一定不陌生,但如果不是開玩笑,交易所真的出事了,要快逃嗎?
把錢轉進交易所之前,先了解交易所可能會出哪些事?有哪些風險?
被盜被駭
交易所的資產被駭客盜走,若規模不大或駭客願意交還資產,那對用戶的影響也許不大;但若規模超出交易所能賠付的範圍,用戶的資產就會遭受損失。
近期交易所被盜新聞:
Justin Sun 旗下平台 Poloniex 被盜超 1 億美元,駭客反買 TRX 至價格飆升-鉅亨
被告被罰款
目前加密貨幣相關的監管政策還在發展中,多數國家都尚未有完整的相關法規,交易所經營過程中有時會觸法,會被政府單位起訴,或罰款。
近期交易所被罰款新聞:
幣安執行長趙長鵬認罪請辭公司支付 43 億美元巨額罰款-鉅亨
挪用客戶資產 / 跑路
被盜被駭雖說有部分是資安內控問題,但畢竟真正動手做惡的是駭客;觸法若不是惡意故意,有時還能算是監管尚未完善的關係。但挪用客戶資產就真的沒理由,是交易所最不該做的行為之一。
交易所不是銀行,和銀行的營運模式不同,不該挪用客戶資產進行其他操作,應該要全額儲備客戶資產以保安全。
交易所挪用資產相關報導:
FTX 乾坤大挪移將 100 億美元客戶資金借給 Alameda-鉅亨
《拳上終於之戰》格鬥獎金遭爆不當!交易所 JPEX 疑似挪用 | 鏈新聞ABMedia
對用戶而言,交易所經營善不善、市占率多高、組織內部有無糾紛,可能都不是用戶最關心的部分,最重要的部分是資產安全:「我在交易所裡的錢是不是可以全額提出來?」
假設交易所市場策略錯誤,慢慢失去市占率,無法獲利逐漸走向倒閉,除非倒閉前交易所霸佔用戶資產不歸還,不然這並不影響用戶資產安全,沒有急著快逃的必要性。
若是正規的交易所,就算決定停止營運,也會通知用戶盡快提領,不會霸佔資產,近期美國的 Bittrex 交易所決定停止營運,就通知用戶趕緊將資產提出。
大家常說的一句話:better safe than sorry (安全總比後悔好),有疑慮就是先走,先求安全。
例如 2022 年的 FTX 事件,一開始官方持續保證資產安全沒問題,但隨著用戶信心崩潰,人們持續將資產提領出來,事發三天內累計被提領超過 60 億美金,將近 2000 億台幣,這種程度的擠兌 FTX 無法支撐,接著破產倒閉,目前還在清算中。
銀行的核心獲利模式是將客戶資產挪為他用賺取利差,針對客戶資產只有部分儲備,其他部分都拿去賺錢。儲備足夠日常周轉即可,若遇到擠兌就撐不住。銀行要儲備多少是依據政府規定的存款準備率,目前台灣的活期存款準備率是 10.275%,也就是說每一百萬的帳上存款,銀行要儲備 10 萬 2750 元。
但交易所不是銀行,交易所的獲利模式是交易相關收費,例如手續費、上架費,交易所不該挪用用戶資產,針對用戶資產,交易所應該要全額儲備。
既然是全額儲備,交易所理應不怕擠兌,就算發生擠兌,只是處理上會塞車,所有人最終應該都能提領出資產。
但這只是理論上,實際上要如何確保?
2022 年,當時排名第二的 FTX 交易所破產倒閉,算是幣圈震撼彈重擊幣圈,破產清算程序目前依然進行中,用戶的資產何時才能領回也還不確定。
事件發生當下,有些人認為短時間內被大量提領當然會倒,就像銀行擠兌沒人撐得住一樣,但交易所不是銀行,破產倒閉的真正原因是挪用用戶資產,挪用了導致儲備不足,面對擠兌時才會撐不住。
但平常用戶怎麼知道交易所是否有挪用資產?如何知道交易所實際資產狀況?行動準則是有疑慮就先跑再說,根據 CoinGecko 的統計,FTX 破產後的十天內,各大交易所合計被提領了超過 200 億美金,將近 6000 億台幣資產從交易所逃出。
Crypto exchanges saw over $20.7B in withdrawals, as FTX collapsed | CoinGecko
例如幣安交易所當時公布的冷錢包地址:
網頁部分截圖,完整資訊請看當時幣安公告
PoA 是鏈上資產證明,幾乎可以做到即時更新
假設交易所 A 資產共有五百億,看似很多,但實際用戶資產總值是一千億,這表示交易所並沒有全額儲備,挪用了一半,風險非常高。
想證明交易所有全額儲備用戶資產
重點不是 PoA 資產證明,而是 PoR 儲備證明
用戶儲存在交易所裡頭的資產,對交易所來說是一種負債,這筆錢先放在交易所帳上但實際上是用戶的,是一種負債。PoR 儲備證明的概念在於,證明是否針對每一筆負債都有足夠的儲備?
來源:What are proof-of-reserves audits, and how do they work?
默克爾是一種資料結構,也被稱為雜湊樹。
參考連結:雜湊樹- 維基百科,自由的百科全書
跳過複雜技術,可以簡單將其理解為交易所的一種資產負債清單,使用加密的方式呈現來保護用戶隱私 & 避免數據被竄改。數據底層是每位用戶的資產,例如共有一千位用戶各自有多少資產,接著持續兩兩加總並加密處理,直到最源頭,從上到下每一塊都包含了下面所有加總的資訊,最上層是根,最下層是樹葉,就像一顆倒著的樹,於是被稱為默克爾樹。
交易所中所有用戶的資產都被包含在默克爾樹裡頭,有些交易所會再將儲備證明交由第三方機構審計,用戶透過相關工具也能自行驗證,默克爾樹能用來驗證交易所是否針對所有用戶資產準備了足額資產儲備。
若用戶驗證時發現自己的資產並沒有被包含進去 or 資產餘額不正確,那就表示交易所有造假的可能性。在能夠公開驗證的同時,又因為有加密處理所以能保障用戶隱私,是非常具有區塊鏈特性的一種方式。
PoR 需要計算與驗證,不是能隨時更新的資訊,有些交易所數個月才會更新一次,目前最高頻率為每月更新。
看資產證明比較簡單,這部分是鏈上資訊,幾乎是即時的,分享兩個可以查看資產數據與細節的工具網站:
CerTik 是區塊鏈安全公司,Certik Skynet 網站提供許多區塊鏈項目的安全評比,同時也提供交易所資產分析,除了交易所資產總額,還能看到分布細節,例如持有幣種、各鏈分布、資金流向、錢包地址等等。
幣圈知名資訊網站 CoinGecko 推出的鏈上數據工具,也有提供交易所資產證明資訊。
儲備證明稍微難了一些,但各大交易所多有提供相關頁面與驗證教學。
幣安的儲備證明網頁-每月更新一次
若不是用戶,可以看看各大幣種的儲備率,若是用戶,也可以登入後直接自行驗證,登入後找到對應頁面跟著教學步驟就能自行驗證。
Bybit 準備金證明 - 每兩個月更新
OKX 儲備金證明 - 每月更新
更多交易所安全性資訊可參考這篇:
新手必讀交易所安全性指南| 5 步驟確認你的交易所不會捲款跑路!
雖說非常公開透明,但依然有風險,風險在於這兩部分:
不即時
默克爾樹需要時間計算與驗證,目前每月一次已是最高的更新頻率,若交易所在做完該次驗證後才挪用資產呢?
不容易自行驗證
雖然交易所大多有提供自行驗證的教學與工具,但實際上還是有點難度,一般人不容易使用。於是也有些交易所會請第三方審計機構進行審計。
相對而言,PoA 能提供更快更即時的資訊,若交易所資產有大幅異動能快速在鏈上數據中看出來,不過依然有限制。若是被駭被盜,可以從 PoA 中看出資金外流,若交易所挪用但還是放在錢包裡,例如拿用戶的幣去玩 DeFi,從 PoA 就看不出來。
交易所出事要不要跑?
不信任、有疑慮就先跑,若還在評估中,先看資產狀況,有無出現大額異動?大額流出?
若對交易所無法信任,加密貨幣錢包是另外一個選擇,關於交易所與加密貨幣錢包的綜合安全評比,可以看這篇文章:
幣放哪裡才安全?交易所 vs. 加密貨幣錢包|安全性比較
這邊只放該篇文章結論:
交易所的主要風險在於交易所,交易所本身資安是否被盜風險高?交易所本身誠信是否亂搞風險高?加密貨幣錢包的風險主要在自己,自己是否有足夠資安觀念?是否會遺失私鑰助記詞?
簡易判別法:
你被駭的風險比較高,你認為自己忘記私鑰的風險比較高 > 建議使用交易所
你很安全,你認為交易所亂搞的風險比較高 > 建議使用加密貨幣錢包
過去發生過多次交易所倒閉事件,交易所透明度一直都是幣圈重大風險之一,FTX 倒閉後,為了重新提振用戶信心,交易所們自發推出了 PoA 與 PoR,雖說目前這屬於交易所自發行為,沒有強制,但整體畢竟是讓產業更成熟了,有更公開透明的資訊,用戶更有評估和選擇交易所的客觀依據。
每次類似事件對幣圈都造成一定的衝擊,有些項目或用戶從此就離場了,留下來的則努力變的更好,交易所會變得更透明、更可檢視,用戶會變的更懂自保、更懂得辨識風險。
東東
加密貨幣愛好者 | 2017 入圈,認為區塊鏈是下個世代的網路,期待區塊鏈與加密貨幣普及到日常生活的那一天。