風險是一個舶來詞,源於意大利語“RISQUE”意味著大自然中的客觀危險。而在現代社會,風險與其說是一種命運,不如說是一種選擇,它取決於我們選擇的自由程度。
金融史學家彼得·伯恩斯在風險管理經典著作《與天為敵——風險探索傳奇》中寫道。 “企業興盛或衰落、股市繁榮或崩潰、戰爭與經濟蕭條,一切都周而復始,但它們似乎總是在人們措手不及的時候來臨。”
金融的核心要素之一是風控,為數字貨幣市場提供流動性的交易所更是如此。數字貨幣交易平台,身兼資產託管、交易撮合、清算、交易信息發布等多種職能,還融合了券商、基金等機構的屬性,儼然是一個超級金融中心。
PANews採訪了多家交易平台的一線風控負責人,區塊鏈行業風控缺位顯然是一線負責人的共識。這也釀成了諸如FCoin“暴雷”、交易所被盜幣等行業悲劇。如何做好風控,成為全行業需要實時關注的重要命題。
風險叢林
加密市場受影響最大也是最難抵抗的便是政策所帶來的系統性風險。監管政策的變化,直接影響著整個市場的波動。
市場參與主體能夠掌控的則是非系統性風險。例如,圍繞系統安全和穩定性的技術風險;決策不當而引發的經營風險;資產不能即時以合理價格成交的流動性風險;無法及時執行提現、轉賬等操作所造成的信任風險;為實現自身利益最大化,而損害投資者利益的道德風險等。
風險之多不勝枚舉,風控部門關係牽連著交易所的每根神經。一位交易所資深從業者告訴PANews,“風控部門在公司處於較高地位,時刻盯著風控系統,監測諸如流動性、羊毛黨、套利、賬戶異常等各個風險項目,與各個部門緊密聯繫。”
一則頭部交易所招聘風控主管的職責中也明確要求,與其他部門(例如產品、技術團隊)進行溝通開展工作,有效影響其他合作方。
風控是與自由的博弈,快速發展階段,風控無疑會制約速度,仍處草創時期的行業現狀並不理想。
“從實際情況看,目前很多中小交易平台在風控方面的意識還是不夠的”。在談及行業風控意識的現狀時,數字貨幣交易所OKEx風控相關負責人向PANews表示。
“行業目前在風控方面的意識還是非常欠缺的,無論是在物理層面、系統層面、治理等層面的風控,同業很多都是相對欠缺的”。 Matrixport高級副總林榕在接受PANews採訪時表達了同樣的看法。 Matrixport是一家來自新加坡的數字金融服務平台,提供數幣交易、託管、借貸、支付等服務。
毋庸置疑,如果區塊鏈行業要躍入主流,身處行業中心的交易平台必然要處理好“風控之殤”。
風控的核心目標——資產安全
據Chainalysis的報告,2019年數字貨幣平台失竊資產總值高達2.83億美元。儘管門頭溝事件過去了近6年,數字貨幣“不翼而飛”的現象依然時有發生,數字貨幣能否得到足夠的安全保障依然時時牽動著所有從業者的神經。
火幣風控相關負責人向PANews表示,火幣建立了嚴格的財務審計和實時監控告警系統,通過冷熱錢包分離和硬件錢包等方式,為每一位用戶建立先行賠付機制,並設立了用戶保護基金。據PANews了解,幣安、Gate.io等交易所也為用戶設立了投資者保護基金。
幣安團隊表示,在資產安全風控方面,幣安注重實時與批量對賬,區塊鏈地址實時的跟踪,判斷與追溯。同時,委任專業客服與風控專家分析用戶資產風險,並加強風控的用戶教育。
託管存儲是守衛資產安全的重要法門,也是傳統金融行業向區塊鏈行業的關鍵映射,更是加強資產安全的必由之路。
Cobo錢包創始人神魚向PANews表示,沒有足夠技術能力的中小區塊鏈企業,不應快速迭代業務,而應該考慮引入第三方託管服務以提升數字資產存儲安全的水平,還可以向相關機構加購保險。
建構多重錢包體系、引入託管服務是外部因素,資產安全還考驗著平台的主觀道德風險。人人比特創始人趙東建議,平台可以選擇盡可能地公開透明,邀請同行一起來監督自己以防止作惡。透明之後,企業一但挪用客戶的資產,各方都能有所注意,這就減小了客戶資產被挪用的可能性。
消除達摩克里斯之劍——合規風控
數字貨幣平台仍然面對諸多不確定性,主動擁抱監管、合規,依法依規經營是減少政策和法律風險的必要條件。據PANews採訪,目前行業內一線數字貨幣平台均建立了不同程度的合規風控,覆蓋事前、事中與事後的合規風控。
火幣有一套標準化的KYC/AML反洗錢系統,有嚴格的帳戶開戶原則及事前審查標準。
Matrixport持有香港信託公司牌照,並接受瑞士金融管理局(FINMA)的監督。
幣安通過分佈式運營來分攤合規風險,如先後在日本、馬耳他、澤西島、新加坡等國與地區申請牌照,開設法幣交易通道。幣安官方向PANews表示,幣安在全球範圍內陸續與多個AML/KYC等合規公司及相關諮詢公司合作,如Chainalysis、Refinitiv、Ciphertrace、IdentityMind和Elliptic等。
OKEx風控負責人表示,合規部門負責OKEx內部各條產品線和業務線的合規審核,提供風險管理指引;法律內控部門提供專業的法律指導意見,規避法律風險。
構建平台安全的守護神——技術風控
對於交易平台來說,技術安全問題是最常見的風控問題,即使頭部大廠也難以避免。據報導,OKEx在2月27日晚至28日凌晨五點期間經歷數次DDoS(分佈式拒絕服務攻擊),在28日29日期間,Bitfinex與幣安也均遭受同樣的攻擊,後者甚至一度出現短暫宕機。
牢固的技術之盾,是資產安全與平台信譽的守護神。
Matrixport對包括交易、借貸等各業務的市場風險實現量化監控、自動策略對沖,以持牌機構要求建立網絡安全、合規系統、隱私數據保護、技術風控,還僱傭全球領先的外部公司進行IT審計諮詢;
OKEx技術風控部門著重於技術風控,推出基於區塊鏈行業的CDS大數據風控安全大腦,專用於風險的監測,分析和處置。實現從“設備、位置、行為、關係、習慣、賬戶”六個維度,全方位實時風險監控。
幣安則構建了一套相對完善的風控系統與手段,基於具體的數據分析構建實時數據計算,以及在線機器學習模型(AI)智能檢測等方式,對用戶與平台的資產進行風險評估與安全保護。
房間裡的大象——內部風控
據全球領先諮詢、經紀公司Wills Towers Watson的保險理賠數據,近2/3的網絡安全問題是由於內部員工疏忽瀆職導致的。神魚表示,區塊鏈企業內部的安全比外部更為重要,因為大部分安全事件爆出多是因為內外勾結或者黑客在內部潛伏很久,知悉內部架構。
從重要性來說,內部風控理應居於更高層級。無論是OKEx、火幣、幣安,還是Matrixport、Cobo,其負責人在內控方面都十分強調流程的規範梳理,以及明確的職責分工、權限管理、定期的審計等標準措施。
幣安強調,他們針對平台系統和權限做了充分的隔離,使用了權限和信息管控的各類組件和流程,做到信息權限的最小化管理(PANews注:權限最小化原則也稱最小授權或最小特權原則,指確保主體僅被授權執行任務與完成工作所必需的權限)。
林榕坦言,Matrixport在內部嚴格權限分離管理,建立了風控委員會體系,安全事件處理框架等。頗具特色的是,Matrixport除了對員工不定期進行風控相關培訓外,還會進行內部“釣魚執法” ,比如給全員發送模仿釣魚郵件,對疏於風控的職員建立“Wall of Sheep”等。
Cobo推行的措施與Matrxport對員工發送“釣魚郵件”有異曲同工之妙,前者踐行著“零信任模型” ,即假設無論在外部/內部,每一步操作都可能是危險的,都想要驗證與信任,經過實時風控系統的檢驗。神魚還建議,區塊鏈企業一定要構建自己內部數據的系統、實時的對賬系統與內部風控。
傳統金融的他山之石
除非經由記憶之路,不能抵達縱深。
談及對風控工作的感受時,林榕表示,“數幣市場的風控要求應該甚至比傳統要高。尤其一方面,數幣市場波動率超過了絕大多數的傳統金融資產,另一方面,區塊鏈支付的信息流與資金流合一,匿名性更強,錢轉出去了,很難有追悔的機會”。
作為在德銀、螞蟻金服等一線金融機構關鍵崗位摸爬滾打而出的從業者,林榕及其背後的Matrixport在企業中所推行的措施借鑒了不少傳統金融/互聯網領域的打法,而這些正是區塊鏈行業風控亟需學習的寶貴經驗。
火幣風控相關負責人認為,傳統金融領域徵信體系相對成熟,互聯網則會運用大數據將用戶行為轉化為信用紀錄。對於區塊鏈領域而言,如何有效地提取鏈上信息, 從而轉化為風控決策指標, 是需要努力的重要方向。
趙東指出,較為成熟的行業格局應當是,交易與資產應當分離,交易所只負責撮合以及清算。如果更進一步,資產的結算、清算以及託管都應該由不同的主體來完成。各方共同審計所有賬目,各自負責。
數幣市場要做好風控,一方面需要從成熟行業嫁接經驗,另一方面,相關投入的力度仍有待提升。
劍橋大學Judge商學院2018年12月發布的研究報告《全球加密資產基準研究》(《Global Cryptoasset Benchmarking Study》)表明,數字貨幣交易所的安全團隊平均佔團隊總人數的13%,平均花費17%的預算用於保證交易所安全運行。
考慮到數字貨幣平台不菲的盈利能力與巨大的增長空間,數字貨幣平台顯然需要從長計議,投入更多資金,招攬更多高水準風控人員、構建更為先進完善的風控體系。
“對風控的投入,可以看成是機會成本。風控越嚴,需要投入的資源越多,可能因此失去的業務機會越多,而降低的是現有資產損失的概率。類似我們這樣的企業,越是重視在已有產業的聲譽和長遠的利益,自然會越重視客戶資產安全。"林榕說。
聲明:本文僅為提供市場資訊,不構成任何投資建議。