AMA 实录|畅谈 SVB 风波启示,CEX 与行业如何更安全地发展?
Web3
DeFi
ICO
未来 CEX 和链上入口会更加紧密地结合,CEX 可能会逐步结合一些 DeFi 的玩法,例如将一些 DeFi 元素纳入 CEX 中,以满足一部分 Native 用户的需求。
主持人:Frank,Foresight News
主讲嘉宾:BlockSec 联合创始人 Lei Wu、Beosin 安全研究员 Eaton、Biteye 创始人 DeFi Teddy、Bitget 区域负责人「翻滚的大姨妈」、0xScope 创始人 Jackson、OpenBlock MPC 钱包 VP 星主
整理:Frank,Foresight News
3 月份以来,从 Silvergate 到硅谷银行再到 Signature 以至于瑞士信贷,传统金融银行体系的危机不断深入演变,尤其是硅谷银行的危机余波一度蔓延到 Circle 等重量级的加密实体,这也是之前我们加密行业从未发生过的事情。
在此背景下,加密实体,尤其是牵涉用户资产安全托管、交易服务的中心化交易所们,接下来该如何完善自我保护机制,免受传统银行倒闭等外部影响,实现安全可靠的发展,就成了行业必须考虑、大家也十分关注的重要话题。
2023 年 3 月 16 日 20:00,Foresight News 与 Bitget 联合举办围绕《硅谷银行启示 -CEX 的安全保障和进击之路靠什么?》主题的 Twitter Space 分享,其中共邀请到 BlockSec 联合创始人 Lei Wu、Beosin 安全研究员 Eaton、Biteye 创始人 DeFi Teddy、Bitget 区域负责人翻滚的大姨妈、0xScope 创始人 Jackson、OpenBlock MPC 钱包 VP 星主等多条相关赛道的嘉宾,就此话题进行深度讨论。
本文为此次 Twitter Space 中各位嘉宾精彩分享的文字摘要,特此整理,以飨读者。
一,从「硅谷银行财务状况和发生挤兑以及受影响公司敞口」发散,我们可以信任什么样的 CEX ?大家觉得 CEX 该如何尽可能避免 / 缓解类似事件。
Lei Wu:硅谷银行(SVB)因为拥有用户的存款,需要有资产增值的需求,因此有一些投资策略,但不算激进。不幸的是他们购买的债券资产遭遇美联储加息,导致亏损,总体来看他们的问题在于现金流不足与投资亏损,从而发生挤兑。CEX 和传统的银行还是有区别的,不过从这个角度看,可信任的 CEX:
- 第一点首先需要本身持有充足的资金,像 USDC/USDT 等可靠的稳定币,包括比特币为代表的主流加密资产,这是基础;
- 第二点就是还要有严格的资金管理制度,以避免资金被挪用和去向不明。CEX 的内部账目管理需要非常清晰和规范,比如之前的 FTX 就因为账目管理混乱,大量资金被挪用,并且去向不明;
- 第三点区别于传统银行的地方,在于 CEX 需要可靠的安全管控机制。数字资产波动的风险更大,特别是在像在 CEX 上交易的 ERC20 等代币情况下,即便它们在 CEX 之外遭遇攻击或价格操控,都可能影响到 CEX,去年底的 pGALA 事件就是一个典型案例;
- 最后一点,CEX 需要对于用户保持信息通畅和透明,例如定期公开披露资金去向、开展独立第三方资金审计等等。
如果以上几点得到遵守和实践,那么这个 CEX 看起来就是会比较值得信任的。
DeFi Teddy:我认为银行和 CEX 之间有很大的不同。银行受到强监管,因此其数据相对透明,相比之下,FTX 的性质完全不同。
我对硅谷银行比较了解,因为我曾经与该银行合作开发金融产品,通过接触我认为硅谷银行的风险控制非常严格,员工素质也很高,因此该银行的问题很大程度上是由于流动性问题导致的,而不是资金挪用等问题;而 FTX 则是完全不同的情况,因为它不受监管,数据很难得到披露和审计,基本上是个黑盒子,因此我们不能确定其数据的准确性。
如果我们现在反思 FTX,我们会发现它做了一些风险很高的事情:
- 我认为第一个风险是高息理财。如果一个金融机构,无论是传统金融机构还是加密金融机构,通过高息理财持续盈利,那么它可能面临一定的流动性风险。这是需要注意的;
- 第二个风险是像 FTX 在做一些二级市场的交易,使用用户的钱进行交易。类似的风险还有 Three Arrows Capital,如果你是一位优秀的 VC,只是投资一级市场并将资金保持不动,那是没有问题的,但是 Three Arrows Capital/FTX 将钱拿出来加杠杆进行各种投资,这可能导致风险。因此我认为需要审查交易所是否从事除交易以外的业务,如果它专注于交易所业务,我会比较放心;
翻滚的大姨妈:在 FTX 事件发生之前,普通用户似乎没有意识到需要质疑或要求 CEX 公布储备资金或公布资产明细等措施,以监督 CEX 在安全和资产保障方面的行为,所以 FTX 事件也成为了对其他交易所的一个警示。随后我们可以看到在去年 11 月之后所有主流交易所都发布了类似于储备金、默克尔树证明等的措施,并公开了资产明细,这使得交易所的风险和储备资金等方面得到了更好的监督和证明。
实际上 Bitget 从去年年底开始就提出了储备金证明、默克尔树等一系列的措施,并公开了资产明细,这些信息可以在我们的官网上查询。在今年 2 月份我们还成立了一个用户保护基金,这是所有中心化交易所中第二大的基金,目前的价值为 3 亿美元,我们将定期监控风险,并采取必要的措施来保护用户的利益。
其实 Bitget 一直在为散户提供保护和支持,这是我们作为中心化公司的责任。去年年底,无论是 FTX 的爆雷还是整个熊市的压制,很多人可能会天然地认为这个圈子再次破灭或失去了牛市的激情。因此我们希望通过这种证明来继续支持用户,并帮助他们更加信任链上和中心化交易所的安全性。同时我们也与一些安全的生态伙伴以及资产管理和安全机构合作,以帮助用户获得更好的保护。
星主:硅谷银行犯了期限错配的错误,从数据上看,这个银行只有 2% 的流动性资产,而 98% 的资产都是期限性的,主要是短期和中期债券,例如美国国债。这其实经不起挤兑,目前这个问题可以通过外部贷款解决,因为银行没有足够的现金,这是一个非常尴尬的问题,意味着耶伦可能需要出面处理这个问题,而且鲍威尔可能会在明年加息和紧缩政策商面临压力。
不过因为银行可能需要提供低息贷款来解决这个问题,同时最近很多银行的态度都发生了变化,但是这些变化的原因各不相同:
- 一方面去年 FTX、Alameda 等事件影响很大;
- 另一方面像 Gemini 等公司也导致摩根大通这样的银行合作伙伴亏钱;
- SVB 对硅谷的初创公司比较友好,也有一些传统的银行专门为向矿圈等提供贷款支付和结算业务的公司服务,因为现在加密市场萎缩,这些公司的业务量下降了,甚至产生了亏损;
传统银行们态度转变基本上是由于这三个主要原因导致的。
二,辩证的看,把盖子掀开、暴露出里面的风险,未尝不是一件好事,缺乏风控合规的中心化机构和交易所在熊市中消失,也为注重安全、合规的新秀交易所提供了新的生态位来填补,那评价一家 CEX 安全程度和透明度的其他标准有哪些?
翻滚的大姨妈:我认为目前来说还是要定期公布储备金。在 Bitget 官网上就可以看到我们的储备金证明,让用户们可以查看交易所持有的 BTC、ETH 以及 USDT 的数量等信息。
最近币安也表示他们也要把 BUSD 转换成 BTC、ETH 和平台币等,我认为这些资产是交易所的命脉,储备这些资产可以证明交易所的实力和盈利能力,同时也可以看作是一种保险,可以在行业黑天鹅事件或交易所危机事件发生时进行赔付,降低投资者的顾虑。
Jackson:我觉得有两个点交易所需要进行披露:
首先,一些交易所其实并没有提供自己平台币的存储地址,这是一个很重要的指标,因为一旦发生流动性危机,交易所会优先使用自己的平台币进行变现操作,因此平台币的存储地址和多签地址是必须要公开披露的;
其次,就是高息理财的情况,我们需要关注收益来源和策略。一些量化基金可能会简单地介绍自己的策略和 LP 融资,但是如果它们能够进行公开披露,像我们 0xScope 这样的数据平台就可以通过追踪来更加详细地了解,观察其策略是否能够实现承诺的收益、是否存在加杠杆等操作。
三,「人们总是高估短期影响,而忽视长期趋势」,那作为 Web3 庞大流量入口,大家觉得 CEX 的发展趋势会是怎么样的?
Lei Wu:我们认为可能会和传统金融机构类似,需要接受和拥抱监管。例如像之前的 OFAC 对于 Tornado Cash 的制裁,如果你想在那里做合法的生意,就必须考虑这些因素,也即在阳光下生存将逐渐被主流社会接受。
尽管在短期内可能会流失一些用户,但从长远来看会吸引更多的投资者,尤其是传统的投资者,从而扩大用户群体。另一方面,现实资产和数字资产有可能在这种场景下得到进一步融合,实现更多的金融创新。
当然,这需要在监管的情况下进行,比如现在香港可以申请牌照,这是因为香港有很多传统的证券和交易机构,只要符合监管要求就有机会去做这些事情,这也涉及到香港的监管和牌照申请,这个过程可能需要一到两年的时间。
翻滚的大姨妈:在这个过程中,我们可以看到一个合规的环境正在建立,投资者能够在安全和合规的环境下交易数字资产,如 ETH 和 BTC 等。同时我们也可以看到香港的一些券商已经发布了 ETH 和 BTC 的 ETF,今年下半年或明年我们 Bitget 也是非常积极地申请香港的合规牌照,为不同区域的零售投资者提供更好的服务。
Jackson:我想补充一下关于合规问题的情况。最近欧洲当地各个国家会联合出台相关的政策,涉及交易等方面;同时香港也在密切关注并计划出台类似政策;据我所知美国也将在今年底到明年中期间出台相关政策。
这表明合规趋势对 CEX 比较明显,对客户体验来说具有重要意义。此外如果后续要进行差异化竞争的话,可能基于 CEX 本身流量的生态链,可能会在下一轮牛市中重演。
DeFi Teddy:我认为随着时间的推移,CEX 的规模肯定会越来越大。从 DeFi 来看,用户体验还不是特别好,所以大部分人可能更愿意进入 CEX 交易。我认为像 Bitget 这样的交易所是一个很好的选择,我们很早就关注到 Bitget,并且观察了各种运营数据,发现它表现不错。
虽然很多人认为 DeFi 是未来的趋势,但我认为 CEX 也是一个大趋势,其中会有很多财富密码的机会。此外我认为 CEX 可能会结合一些 DeFi 的玩法,例如将一些 DeFi 元素纳入 CEX 中,以满足一部分 Native 用户的需求。对于这些人来说 DeFi 是一个很好的入口,但是对于一些新手来说,DeFi 可能不太好接受,这时 CEX 就是一个很好的交易入口。
总之我认为 CEX 会在未来有很大的增长潜力,虽然行业可能会在十年以上的时间内逐渐转向 DeFi,但在此之前 CEX 将会继续为整个行业做出很大的贡献。
翻滚的大姨妈:Bitget 在去年年底推出了一个名为 MegaSwap 的项目,利用 CeFi 平台和链上深度实现链上的流动性,允许用户在交易所网页中使用链上深度去交易代币。这个创新性的产品使投资者无需私钥即可交易链上资产,且通过交易所的 USDT 等资产支付链上 Gas 费用,对入门投资者相当友好。主流交易所都已经开始向这个方向转变,未来 CEX 和链上入口会更加紧密地结合,链上账户和交易账户也会进行打通,币安和 Coinbase 等交易所也都在这个方向上发展。
Eaton:除了合规监管趋势,我个人认为下一轮牛市中交易所生态的趋势将是采用 Rollup 架构,就像 Coinbase 的 Base 公链一样。一些交易所可能会学习并直接采用其他以太坊二层的 Rollup 架构,因为这样可以吸收以太坊上的流量,而且 Rollup 的运营成本比公链低,因此我认为交易所将趋向于与 Rollup 结合。
四,一时间,传统金融行业在「梦回 2008」,而加密市场在恍惚间似乎重新体会到了「3.12」的流动性踩踏与「5.19」的恐慌性出逃,各位嘉宾有没有一些交易所 / 钱包或者链上安全技巧 / 建议分享给大家?
Lei Wu:根据我们的观察,最近发生了几件值得注意的事件。首先出现了越来越多的钓鱼事件,例如最近所谓的零价值转账骗局:
其中一个人向你的地址转账了价值为零的代币,而这个地址看起来很像你之前交易过的地址,使用钱包的人可能会不经思考地点击转账按钮,导致资产被盗,这种简单的骗局在过去两个月里已经造成了多起安全事件。为了解决这个问题,我建议学习一些 CEX 的做法,只和白名单中的地址进行交易会更好。
其次,我们还发现了某些合约的授权(approve)存在严重问题,同时一些用户授权时没有考虑后果,作为一家安全公司,我们已经发布了一些工具来帮助用户解决这个问题,例如我们与 MetaMask 合作,标记我们搜集到的钓鱼地址,我们还集成了一个预知功能来模拟执行交易,向用户展示潜在的结果。
我们还针对 Etherscan 等区块浏览器开发了一个名为「MetaDock」的浏览器插件,其中有个功能就是查看某个地址的风险。经过调查,我们发现受到 Crypto 骗局影响的不仅仅是新手,还有一些已经在这个领域摸爬滚打多年的人,尽管他们本身在这个行业中经验丰富。
翻滚的大姨妈:最近在 Twitter 上我们经常看到许多假账号,这些假账号非常真实,比如 Yuga Labs 账号,它们甚至在 Twitter 上购买推广,头像、用户名和发布的内容都和真账号一模一样,只不过账号句柄稍有不同。它们甚至有十几万的粉丝,并且有蓝色认证标识,但是提供的链接都是假的,我认为这是一种难以防范的欺诈行为。
另外在 Twitter 和电报等平台的私信中,一些链接也不能点击,否则你的资产可能会被盗,有时在微信群中分享的链接也是有风险的,可能是因为在分享的过程中链接被更改了。
作为一个交易所,最基本的安全措施是绑定手机号码、谷歌验证码和电子邮箱,这三步可以有效地防范转账和提币等操作的风险。此外,建议用户在不同的交易所或 Web2 账号中设置不同的密码,这样可以增加账号的安全性。最安全的方法之一是使用密码管理工具,如 1Password,这些工具可以为用户的密码提供额外的保护。但是需要注意的是,用户不应该将私钥和密码存储在在线笔记软件中,以免被黑客盗取。
DeFi Teddy:我认为保护助记词是首要任务,其次是将大额资产存放在冷钱包、硬件钱包中,第三是要在多个地方进行资产配置,比如在 CEX 中放置一部分资产,在 DeFi 中放置一部分资产,并在硬件钱包多放一些。另外建议使用不同品牌的硬件钱包来存储资产,最好至少使用两种不同的品牌。
第四条建议是定期清除 approve,因为即使您信任一个平台,如果该平台被黑客攻击,您的资产仍然有可能受到损失。即使是像 Uniswap 这样的平台也要清除 approve,此外签名审查也很重要,要确保自己知道签名的内容,如果不确定,最好让懂的人来看一下。有些钱包如 MetaMask 经常会弹出窗口,但这些窗口可能不太专业,因此建议让懂的人来看一下。
此外,特别要注意的是 MetaMask 弹出窗口上没有红字提示,不要盲目操作。
星主:我认为对于大家来说,可以考虑以下两个方向。首先像之前的嘉宾所说的那样,可以将自己的资料存储在金属版上,这样可以防止受到潮湿的影响,而且最好不要把资料存储在同一个地方。其次可以购买多个硬件钱包,使用各种安全插件,包括专门针对合约检测的安全插件和浏览器插件。
用户还可以尝试使用 MPC 钱包,它将私钥分段加密,保证了更高的安全性,很多交易所和项目也在使用 MPC 技术方案,如果忘记了密码或私钥,也可以通过邮箱找回您的账户。目前社交恢复也主要是 MPC 钱包和基于智能合约的社交钱包这两种方案。
五,永恒话题,大家如何看待后市行情走势?
翻滚的大姨妈:Optimism 发币后整个生态系统就像是打开了一扇门,虽然人们都知道 Arbitrum 的 TVL、开发者和项目远远超过了 Optimism。Arbitrum 选择在这个时间发币,我认为是要在这个市场中引发情绪反应,尤其是在硅谷银行遭受黑天鹅事件之后,这个概念或叙事将一直持续到下半年,我认为 2023 年可能会出现 Arbitrum Summer,值得期待,此外它的空投和二级市场的财富效应也会引发许多概念的涌现。
星主:我这样看待这个问题,如果 Arbitrum 采用类似于 Fantom 或者 Optimism 的生态基金模式,那么该生态基金的一部分资金会按照 TVL 进行分配,例如当前 TVL 最大的项目是 GMX,他们有可能将一部分资金用于支持 GMX 的生态。因此,大家可以关注一些 TVL 相对稳定的项目,这将会有很大的机会。
目前在 Arbitrum 上最强的两个项目是 Magic 和 GMX,但是 Magic 似乎稍逊一筹,而 Sushi 也非常强大,早早就在 Arbitrum 上开矿,并且给予了慷慨的奖励。还有 ve(3,3)模型,目前在 Arbitrum 上有已经有好几个相关项目了,但是只有几个能跑出来,这个模型可能会产生百倍币甚至千倍币。
此外大家可能还没有关注到的是 Arbitrum 有两条链,目前大家都是在 Arbitrum One 上卷,但是还有一条链叫做 Arbitrum Nova,目前做项目的人非常少。如果 Arbitrum 发放空投,这条链也会得到一些好处,因为 Arbitrum One 已经非常卷了。
如果从市场情况来看,我对未来的行情持乐观态度。上海的升级以及香港市场的热度都表明市场还有不少热点。另外,技术迭代也非常频繁,而 Web2+3 的概念也成为了一个趋势,这意味着交易所和钱包之间的界限将越来越模糊。
此外根据历史减半周期的规律,从传统的角度来看,我认为在比特币的减半时,价格会回到上一轮牛市价格的一半。根据这个逻辑,到 2024 年 4 月份的时候,比特币价格可能会达到 34000 美元左右。
Lei Wu:我们与项目方开发者的接触较为频繁,开发者数量的增加趋势仍然存在,这在我们看来可能是一个积极的趋势。
Jackson:我们现在看到的数据显示稳定币并没有太多的增量,这也一定程度上证明市场没有太多的流动性输入,我们可能需要等待加息周期快要结束时才能看到更多的数据。
回顾之前的三轮牛市,我们发现在牛市之前会有几个重要的维度和指标:一,对于这种小牛市或者所谓的猴市,可能会出现两到三次左右,目前可能已经结束了第二次,如果这个 Layer2 summer 能够成为第三次的话,我们认为这符合一个基本条件;另一个基本条件是需要有明显的外部资金输入;最后一个基本条件是在前几次牛市中,有一些 ponzi 模型出现,例如 ICO、流动性挖矿等,这种模型会带来很多所谓的造富神话。
如果这三个条件都满足,可能会出现一个长达一到两年的牛市。如果只满足一到两个条件,我们认为比特币的涨幅最多只有百分之六七十,这应该是比较正常的水平。
Eaton:从开发者的角度来看,我们公司接到审计的情况显示整个加密货币市场正在回暖。虽然开发者数量并没有像之前牛市那样活跃,但可以看到许多新的项目正在 build ,整个市场在生态方面也在回暖。当然,以太坊社区依然是最大的开发者群体,而像 Aptos 和 Sui 这样的项目目前可能只有大约 50-60 名开发者,尽管这个数字在增长,但目前还没有迎来真正的爆发。
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表Bi123的观点或立场