文 | 黎哲翁 編輯 | 畢彤彤 出品 | PANews
風險是一個舶來詞,源於義大利語“RISQUE”意味著大自然中的客觀危險。而在現代社會,風險與其說是一種命運,不如說是一種選擇,它取決於我們選擇的自由程度。
金融史學家彼得·伯恩斯在風險管理經典著作《與天為敵——風險探索傳奇》中寫道。“企業興盛或衰落、股市繁榮或崩潰、戰爭與經濟蕭條,一切都週而復始,但它們似乎總是在人們措手不及的時候來臨。”
金融的核心要素之一是風控,為數字貨幣市場提供流動性的交易所更是如此。數字貨幣交易平臺,身兼資產託管、交易撮合、清算、交易資訊釋出等多種職能,還融合了券商、基金等機構的屬性,儼然是一個超級金融中心。
PANews採訪了多家交易平臺的一線風控負責人,區塊鏈行業風控缺位顯然是一線負責人的共識。這也釀成了諸如FCoin“暴雷”、交易所被盜幣等行業悲劇。如何做好風控,成為全行業需要實時關注的重要命題。
風險叢林
加密市場受影響最大也是最難抵抗的便是政策所帶來的系統性風險。監管政策的變化,直接影響著整個市場的波動。
市場參與主體能夠掌控的則是非系統性風險。例如,圍繞系統安全和穩定性的技術風險;決策不當而引發的經營風險;資產不能即時以合理價格成交的流動性風險;無法及時執行提現、轉賬等操作所造成的信任風險;為實現自身利益最大化,而損害投資者利益的道德風險等。
風險之多不勝列舉,風控部門關係牽連著交易所的每根神經。一位交易所資深從業者告訴PANews,“風控部門在公司處於較高地位,時刻盯著風控系統,監測諸如流動性、羊毛黨、套利、賬戶異常等各個風險專案,與各個部門緊密聯絡。”
一則頭部交易所招聘風控主管的職責中也明確要求,與其他部門(例如產品、技術團隊)進行溝通開展工作,有效影響其他合作方。
風控是與自由的博弈,快速發展階段,風控無疑會制約速度,仍處草創時期的行業現狀並不理想。
“從實際情況看,目前很多中小交易平臺在風控方面的意識還是不夠的”。在談及行業風控意識的現狀時,數字貨幣交易所OKEx風控相關負責人向PANews表示。
“行業目前在風控方面的意識還是非常欠缺的,無論是在物理層面、系統層面、治理等層面的風控,同業很多都是相對欠缺的”。Matrixport高階副總林榕在接受PANews採訪時表達了同樣的看法。Matrixport是一家來自新加坡的數字金融服務平臺,提供數幣交易、託管、借貸、支付等服務。
毋庸置疑,如果區塊鏈行業要躍入主流,身處行業中心的交易平臺必然要處理好“風控之殤”。
風控的核心目標——資產安全
據Chainalysis的報告,2019年數字貨幣平臺失竊資產總值高達2.83億美元。儘管門頭溝事件過去了近6年,數字貨幣“不翼而飛”的現象依然時有發生,數字貨幣能否得到足夠的安全保障依然時時牽動著所有從業者的神經。
火幣風控相關負責人向PANews表示,火幣建立了嚴格的財務審計和實時監控告警系統,透過冷熱錢包分離和硬體錢包等方式,為每一位使用者建立先行賠付機制,並設立了使用者保護基金。據PANews瞭解,幣安、Gate.io等交易所也為使用者設立了投資者保護基金。
幣安團隊表示,在資產安全風控方面,幣安注重實時與批次對賬,區塊鏈地址實時的跟蹤,判斷與追溯。同時,委任專業客服與風控專家分析使用者資產風險,並加強風控的使用者教育。
託管儲存是守衛資產安全的重要法門,也是傳統金融行業向區塊鏈行業的關鍵對映,更是加強資產安全的必由之路。
Cobo錢包創始人神魚向PANews表示,沒有足夠技術能力的中小區塊鏈企業,不應快速迭代業務,而應該考慮引入第三方託管服務以提升數字資產儲存安全的水平,還可以向相關機構加購保險。
建構多重錢包體系、引入托管服務是外部因素,資產安全還考驗著平臺的主觀道德風險。人人位元創始人趙東建議,平臺可以選擇儘可能地公開透明,邀請同行一起來監督自己以防止作惡。透明之後,企業一但挪用客戶的資產,各方都能有所注意,這就減小了客戶資產被挪用的可能性。
消除達摩克里斯之劍——合規風控
數字貨幣平臺仍然面對諸多不確定性,主動擁抱監管、合規,依法依規經營是減少政策和法律風險的必要條件。據PANews採訪,目前行業內一線數字貨幣平臺均建立了不同程度的合規風控,覆蓋事前、事中與事後的合規風控。
火幣有一套標準化的 KYC/AML反洗錢系統,有嚴格的帳戶開戶原則及事前審查標準。
Matrixport持有香港信託公司牌照,並接受瑞士金融管理局(FINMA)的監督。
幣安透過分散式運營來分攤合規風險,如先後在日本、馬耳他、澤西島、新加坡等國與地區申請牌照,開設法幣交易通道。幣安官方向PANews表示,幣安在全球範圍內陸續與多個AML/KYC等合規公司及相關諮詢公司合作,如Chainalysis、Refinitiv、Ciphertrace、IdentityMind和Elliptic等。
OKEx風控負責人表示,合規部門負責OKEx內部各條產品線和業務線的合規稽覈,提供風險管理指引;法律內控部門提供專業的法律指導意見,規避法律風險。
構建平臺安全的守護神——技術風控
對於交易平臺來說,技術安全問題是最常見的風控問題,即使頭部大廠也難以避免。據報道,OKEx在2月27日晚至28日凌晨五點期間經歷數次DDoS(分散式拒絕服務攻擊),在28日29日期間,Bitfinex與幣安也均遭受同樣的攻擊,後者甚至一度出現短暫宕機。
牢固的技術之盾,是資產安全與平臺信譽的守護神。
Matrixport對包括交易、借貸等各業務的市場風險實現量化監控、自動策略對沖,以持牌機構要求建立網路安全、合規系統、隱私資料保護、技術風控,還僱傭全球領先的外部公司進行IT審計諮詢;
OKEx技術風控部門著重於技術風控,推出基於區塊鏈行業的CDS大資料風控安全大腦,專用於風險的監測,分析和處置。實現從“裝置、位置、行為、關係、習慣、賬戶”六個維度,全方位實時風險監控。
幣安則構建了一套相對完善的風控系統與手段,基於具體的資料分析構建實時資料計算,以及線上機器學習模型(AI)智慧檢測等方式,對使用者與平臺的資產進行風險評估與安全保護。
房間裡的大象——內部風控
據全球領先諮詢、經紀公司Wills Towers Watson的保險理賠資料,近2/3的網路安全問題是由於內部員工疏忽瀆職導致的。神魚表示,區塊鏈企業內部的安全比外部更為重要,因為大部分安全事件爆出多是因為內外勾結或者駭客在內部潛伏很久,知悉內部架構。
從重要性來說,內部風控理應居於更高層級。無論是OKEx、火幣、幣安,還是Matrixport、Cobo,其負責人在內控方面都十分強調流程的規範梳理,以及明確的職責分工、許可權管理、定期的審計等標準措施。
幣安強調,他們針對平臺系統和許可權做了充分的隔離,使用了許可權和資訊管控的各類元件和流程,做到資訊許可權的最小化管理(PANews注:許可權最小化原則也稱最小授權或最小特權原則,指確保主體僅被授權執行任務與完成工作所必需的許可權)。
林榕坦言,Matrixport在內部嚴格許可權分離管理,建立了風控委員會體系,安全事件處理框架等。頗具特色的是,Matrixport除了對員工不定期進行風控相關培訓外,還會進行內部“釣魚執法”,比如給全員傳送模仿釣魚郵件,對疏於風控的職員建立“Wall of Sheep”等。
Cobo推行的措施與Matrxport對員工傳送“釣魚郵件”有異曲同工之妙,前者踐行著“零信任模型”,即假設無論在外部/內部,每一步操作都可能是危險的,都想要驗證與信任,經過實時風控系統的檢驗。神魚還建議,區塊鏈企業一定要構建自己內部資料的系統、實時的對賬系統與內部風控。
傳統金融的他山之石
除非經由記憶之路,不能抵達縱深。
談及對風控工作的感受時,林榕表示,“數幣市場的風控要求應該甚至比傳統要高。尤其一方面,數幣市場波動率超過了絕大多數的傳統金融資產,另一方面,區塊鏈支付的資訊流與資金流合一,匿名性更強,錢轉出去了,很難有追悔的機會”。
作為在德銀、螞蟻金服等一線金融機構關鍵崗位摸爬滾打而出的從業者,林榕及其背後的Matrixport在企業中所推行的措施借鑑了不少傳統金融/網際網路領域的打法,而這些正是區塊鏈行業風控亟需學習的寶貴經驗。
火幣風控相關負責人認為,傳統金融領域徵信體系相對成熟,網際網路則會運用大資料將使用者行為轉化為信用紀錄。對於區塊鏈領域而言, 如何有效地提取鏈上資訊, 從而轉化為風控決策指標, 是需要努力的重要方向。
趙東指出,較為成熟的行業格局應當是,交易與資產應當分離,交易所只負責撮合以及清算。如果更進一步,資產的結算、清算以及託管都應該由不同的主體來完成。各方共同審計所有賬目,各自負責。
數幣市場要做好風控,一方面需要從成熟行業嫁接經驗,另一方面,相關投入的力度仍有待提升。
劍橋大學Judge商學院2018年12月釋出的研究報告《全球加密資產基準研究》(《Global Cryptoasset Benchmarking Study》)表明,數字貨幣交易所的安全團隊平均佔團隊總人數的13%,平均花費17%的預算用於保證交易所安全執行。
考慮到數字貨幣平臺不菲的盈利能力與巨大的增長空間,數字貨幣平臺顯然需要從長計議,投入更多資金,招攬更多高水準風控人員、構建更為先進完善的風控體系。
“對風控的投入,可以看成是機會成本。風控越嚴,需要投入的資源越多,可能因此失去的業務機會越多,而降低的是現有資產損失的概率。類似我們這樣的企業,越是重視在已有產業的聲譽和長遠的利益,自然會越重視客戶資產安全。"林榕說。
