从 8 次交易所跑路提炼的 5 条选择标准
把 Mt.Gox、Bitfinex 2016、BitGrail、Cryptopia、QuadrigaCX、Celsius、Voyager、FTX 这八艘船的沉没原因摆在一张表上看,会发现它们共享同样几个早期信号。本课把这些信号整理成五条可以现在拿去用的 pre-mortem 标准——pre-mortem 这个词来自医学,意思是"在死亡发生之前先做尸检"。
引子:八艘船一张图
2014 年 Mt.Gox 沉的时候,我们以为是孤立事件——一个东京小公司管理混乱。2019 年 QuadrigaCX 沉的时候,我们以为是孤立事件——一个加拿大老板诈死。2022 年 FTX 沉的时候,我们也以为是孤立事件——一个 MIT 物理生迷上了 Effective Altruism。
但把这八艘船的沉没文件摆在一张桌子上读完之后我意识到——它们不是孤立事件,它们共享同一份蓝图。这份蓝图大概可以画成五条线:储备账目无独立核验、监管牌照集中度太低、无用户保险机制、关联交易公司不隔离、CEO 公开发言里早就有警告但被忽略。
本课先逐艘船把沉没原因拆开(一节一艘船,每艘不超过 250 字),再把共享信号整理出来,最后变成五条筛选标准——这五条标准可以现在去筛当下你在用的任何一家所。
一、把八艘船摆在一起
Mt.Gox 2014
规模:巅峰时占全球 BTC 交易量 70%+。损失:约 85 万枚 BTC,2014 年价值约 4.8 亿美元,今天价值约 510 亿美元。根因:热钱包私钥控制权弱、对账只核总余额、合规与财务岗长期空缺。关键早期信号(沉船前 12 个月):2013 年 5 月美国 ICE 扣押其美国子公司账户、CEO Karpelès 多次公开承认"代码骨头不够粗"、内部连独立 CFO 都没有。
Bitfinex 2016
规模:2016 年全球前三大 USD/BTC 交易所。损失:约 12 万枚 BTC(2016 年价值约 7200 万美元,2024 年价值约 80 亿美元)。根因:多签热钱包架构被攻破——攻击者拿到了 Bitfinex 与 BitGo 多签设置中的两把签名。结果:Bitfinex 没破产,让用户损失通过"BFX 代币"补偿。这是史上第一次"挂代币代替倒闭"。事后:2022 年美国司法部追回约 9.4 万枚 BTC,部分返还。关键信号:事件爆发前业内已有人公开质疑其多签实施细节,未被回应。
BitGrail 2018
规模:意大利小所,但是 NANO 币的主要交易场所。损失:约 1700 万 NANO,价值约 1.7 亿美元。根因:创始人 Francesco Firano 长期挪用用户存款补自己的交易亏损;账目两套(向用户公开一套、内部实际一套)。事后:意大利法院判定创始人个人对损失负责,但实际追回不到 10%。关键信号:事件爆发前 6 个月,Reddit 上已有用户报告提币长期延迟。我自己 2017 年那点 NANO 就丢在这里。
Cryptopia 2019
规模:新西兰中型所,月交易量约 50 亿美元。损失:约 3000 万美元(被黑客一次性洗走)。根因:热钱包架构粗糙——所有币种共用单一 hot wallet,未做币种隔离。事后:新西兰高等法院 2019 年 5 月命令进入清算。关键信号:事件前 3 个月发生过一次小额异常提币,公司未公开披露。
QuadrigaCX 2019
规模:加拿大最大加密交易所。损失:约 2 亿加元(约 1.6 亿美元)。根因:创始人 Gerald Cotten 2018 年 12 月在印度死亡(一说诈死),所有冷钱包私钥据称只在他本人掌握。安永调查后发现:这些"冷钱包"在他死前数月就已经空了——他长期挪用客户资金做高风险交易,亏损后无法补足。关键信号:2018 年下半年多家加拿大银行已开始拒绝为 Quadriga 服务,公司未公开披露。
Celsius 2022
规模:美国最大加密借贷平台。损失:约 47 亿美元用户存款被冻结。根因:承诺 17% 年化收益,但实际把用户存款投入高风险 DeFi 协议(包括 Anchor、stETH 套利等)。2022 年 5 月 Luna 崩盘后亏损加剧,6 月 stETH 脱锚再添一笔,6 月 13 日暂停提币。事后:CEO Alex Mashinsky 被起诉 7 项重罪。关键信号:2021 年下半年已有分析师公开质疑其 17% 年化的可持续性,CEO 公开回怼"FUD"。
Voyager 2022
规模:美国上市加密券商(VYGVQ)。损失:约 16.5 亿美元用户存款。根因:把约 6.7 亿美元客户资金借给单一对手方 Three Arrows Capital。Three Arrows 在 2022 年 6 月因 Luna 崩盘倒闭,导致 Voyager 无法收回这笔贷款。关键信号:2022 年初 Voyager 公开公告中已提到"集中度风险",但未具体披露 6.7 亿美元单一对手方。
FTX 2022
规模:全球第二大加密交易所。损失:约 80 亿美元客户资金缺口。根因:Alameda Research 长期挪用 FTX 用户存款。详见沉船录·卷三。关键信号:CoinDesk 11 月 2 日文章泄漏 Alameda 资产负债表后,业内 5 天内已意识到问题严重性——但 SBF 11 月 7 日仍在 Twitter 发推"FTX is fine. Assets are fine."。
二、共享的早期信号
这八艘船按沉没原因可以分两类,但共享的早期信号非常一致:
| 信号 | Mt.Gox | Bitfinex | BitGrail | Cryptopia | Quadriga | Celsius | Voyager | FTX |
|---|---|---|---|---|---|---|---|---|
| 无独立核验的储备证明 | ✓ | — | ✓ | — | ✓ | ✓ | ✓ | ✓ |
| 单一司法辖区运营 | ✓ | — | ✓ | ✓ | ✓ | — | — | — |
| 无用户保险基金 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 有关联交易/借贷公司未隔离 | — | — | ✓ | — | ✓ | ✓ | ✓ | ✓ |
| CEO 公开发言中已有警告信号 | ✓ | — | — | — | — | ✓ | ✓ | ✓ |
每一艘船至少踩了 3 条。FTX 五条全踩。Bitfinex 2016 那次是少数例外——它的沉没主要是技术原因(多签被攻破),不是治理原因。但即使是 Bitfinex,它当时也没有用户保险基金,导致后续不得不用代币补偿。
这五个维度本身就构成了一份选择标准。下面把它们正向写出来。
月度核
牌照
保险
隔离
说人话
三、五条 pre-mortem 标准
每一条我会写:怎么验证(具体方法)、Binance(币安) / Coinbase / Kraken / Bybit / OKX 这五家当下的得分(不是所有所都过,但这五家相对透明)。
标准一:储备证明(PoR)必须存在、月度发布、由独立第三方核验、含 zk 用户负债证明
为什么重要:没有 PoR 就等于让交易所自己说"我有 X 亿",但不让你看。FTX、QuadrigaCX、Celsius 都没做过有效 PoR——这三家加起来吞掉的客户资金,按 2022 年 11 月时点计算超过 130 亿美元。如果当年这三家任何一家公布过哪怕一次 Merkle Tree 形式的负债端 PoR,事后都不可能装作"账面平衡"。PoR 不是一个技术问题,它是一个"愿不愿意让外人查账"的态度问题。
历史源 · 这事是怎么来的:PoR 这个词第一次进入加密圈是 2014 年——当时 Kraken 创始人 Jesse Powell 找 Stefan Thomas(后来 Ripple 的 CTO)做了第一次 Merkle Tree 资产端核验,回应 Mt.Gox 倒后的市场恐慌。但那个版本只核资产,没核负债,业内称为"半截 PoR"。2017 到 2022 这五年,PoR 基本上是"想做的所偶尔做一下、不想做的所一直不做",没有任何强制性。真正把 PoR 拉成行业标准的,是 2022 年 11 月 FTX 倒下后的第二个礼拜——CZ 在 Twitter 公开喊话"所有大所应该立即开始月度 PoR",币安 11 月 25 日发布第 1 期 Mazars 核验的 BTC 储备。当时业内反应分两派:一派跟进(OKX 12 月 4 日、Kraken 沿用旧标准升级、Bitfinex 12 月跟进),另一派死扛(Bybit 拖到 2023 年 1 月、Gate.io 自己做了一版被质疑作假)。这个分裂本身就是一份天然筛子——谁跟、谁没跟、跟了多久之后又停下来,全是公开记录。
2024 之后 · zk-SNARK 用户负债的技术进化:2022 年第一波 PoR 用的是简单 Merkle Tree——你以用户 ID 哈希去查自己的余额是不是被包含在那棵树里。问题是这种方法不能验证"总和 = 交易所自己声称的负债"。攻击场景:交易所可以给一部分用户打折扣余额(比如真欠 1 BTC、Merkle Tree 里写 0.9 BTC),用户单查自己时只看到自己的,看不到总和。2023 年下半年 Binance 联合 zCloak、PolygonID 开始在 PoR 里加 zk-SNARK 模块——核心是用零知识证明,在不暴露任何单个用户余额的前提下,向公众证明"所有用户余额的总和 = X",并且 X ≤ 链上资产总额。Coinbase 因为是上市公司,走的是另一条路(季度 SOC 财报 + 独立第三方审计),不做 zk-SNARK 但 SEC 文件兜底。两条路都能验证负债端,但前者更链上、更实时。
怎么验证(具体操作步骤):
- 去交易所官网搜 "Proof of Reserves" 或 "PoR"——找不到这个页面直接跳过该所。
- 看核验机构——Big Four 或大型独立审计所(Deloitte、PwC、Mazars、Armanino、TheNetworkFirm)比小事务所可信。注意:Mazars 2022 年 12 月底因美区合规压力暂停了加密客户业务,币安 第 6 期之后换了 The Network Firm(前 Armanino 加密部门独立出来的公司),这次切换是公开记录的事件,不是"被审计所抛弃"。
- 看频率——月度优于季度,季度优于年度,没有频率公告的等于没做。一份"五个月前的快照"在加密这种波动行业里基本等于过期食品。
- 看是否包含"用户负债"端核验——只核"资产端"的 PoR 容易作假(比如借朋友的币凑数)。Merkle Tree + zk 证明用户负债是当下最严格的标准。如果一家所的 PoR 里只看到"我们的 BTC 钱包余额 = X",而看不到"用户欠款总额 = Y、X ≥ Y",这个 PoR 价值减半。
- 看是否能本人验证——好的 PoR 应该提供一个工具,让你输入自己的账户 hash,立刻看到自己的余额是否被包含在最新一期核验里。币安、OKX、Kraken 都有这个工具,登录后台一两步就能跑完。
当下得分(按 PoR 严格性排序):币安 The Network Firm 月度 + zk-SNARK 用户负债 + self-audit 工具 = 1.0 / Coinbase PwC 季度 + SEC 季报兜底(无 self-audit)= 0.9 / OKX 月度 + zk + self-audit = 1.0 / Kraken 月度 + Merkle Tree + self-audit = 0.95 / Bybit 月度 + zk + self-audit(慢)= 0.85 / Bitstamp KPMG 季度(无 self-audit)= 0.6 / Gate.io 自称无独立核验 = 0.2。
标准二:至少 3 个主流司法辖区的金融牌照
为什么重要:单一辖区运营意味着政策风险集中。Cryptopia 死在新西兰单一辖区,BitGrail 死在意大利单一辖区。Mt.Gox 名义上只在日本运营,没有任何海外子公司持牌。多辖区不仅分散政策风险,也意味着至少 3 个独立监管机构看过它的合规文件——这相当于 3 套独立审查同时盖章,比单一辖区"自我认证"严格几个量级。换个角度看:如果你怀疑一家所的合规材料有水分,最便宜的反验证方法不是雇审计师,而是看它能否同时通过法国 AMF、美国 NMLS、新加坡 MAS 的尽调——这三家的合规标准互相不重合,一份在 AMF 过审的材料在 NMLS 里可能完全不及格。
主要管辖区清单 · 含金量分层:加密牌照分三档。第一档是真正"难拿"的:美国纽约州 NYDFS BitLicense(2015 年至今全球总共发放约 35 张,每张平均审批 18 个月以上)、日本 FSA(要求资本金 1000 万日元起、月度合规报告、用户资产 95% 冷存)、新加坡 MAS DPT License(2022 年起冻结发放,存量约 20 张)、香港 SFC 1/7 号牌(要求实地办公 + 持牌负责人)。第二档是"中等门槛"的:法国 AMF PSAN(2024 年起升级为 MiCA-CASP)、德国 BaFin Kryptowerte(2020 年起)、意大利 OAM(注册制偏弱)、爱尔兰 Central Bank、英国 FCA Crypto Registration。第三档是"形式严格但实质偏松"的:迪拜 VARA(2022 年新设、宽容创新但合规细则未完全成型)、巴哈马 SCB(FTX 当年就持有这张)、哈萨克 AFSA、塞舌尔。第三档不是不好,而是单独拿一张第三档牌照不能替代第一档——FTX 当年只持巴哈马 SCB + 一份美国 MSB 注册,这就是单一第三档辖区的典型样本。
怎么验证(具体操作步骤):
- 去交易所官网 "Regulation" 或 "Licenses" 页面——一般在 footer 或 About 二级页。找不到这个页面或者只放一张图、不放具体牌照号的,直接给 0 分。
- 逐项查证——直接到对应监管机构官网搜公司名(FCA、AMF、OAM、VARA、FINTRAC、FSA、NMLS、MAS、SFC、BaFin 等都有公开持牌名录,搜公司名 + 牌照号 30 秒就能验真伪)。
- "已申请" "正在洽谈" "principle approval" 这些字眼不算——只有"已颁发"算。"原则上批准"在 2022 年的迪拜 VARA、2023 年的香港 SFC 案例里经常被滥用——一张原则批准距离真正运营许可可能还要 12-18 个月。
- 关注牌照层级——MiCA-CASP(欧盟统一)> MSB(美国财政部 FinCEN)> 单一州州级。前者覆盖整个欧盟 27 国,后者只覆盖一个州。一张 MiCA-CASP 在含金量上约等于 4-5 张单一州牌照。
- 看牌照是否仍然有效——监管机构每年都有撤照名录,FTX 倒后巴哈马 SCB 直接撤销其牌照。被撤照的所即使官网还挂着,也只是历史档案。
对照实测 · 7 家主流所 2026.05 牌照清单:
| 交易所 | 已颁发牌照(不含申请中) | 第一档数量 | 总数 |
|---|---|---|---|
| 币安 | 法 AMF MiCA-CASP / 意 OAM / 迪拜 VARA VASP / 哈萨克 AFSA / 萨尔瓦多 DASP / 阿根廷 CNV / 巴林 CBB / 日本 FSA(通过收购 Sakura)/ 西班牙 FIU / 波兰 KNF | 1(日本 FSA) | 10+ |
| Coinbase | 美 NYDFS BitLicense / 美 NMLS(45 州)/ 爱尔兰 Central Bank / 德国 BaFin / 新加坡 MAS(MPI 大额支付)/ 法 AMF / 英 FCA Crypto | 3(NYDFS+MAS+BaFin) | 7 |
| Kraken | 美 NMLS(多州)/ 英 FCA / 爱尔兰 CB / 澳 AUSTRAC / 加拿大 FINTRAC | 0(无 BitLicense) | 5 |
| OKX | 迪拜 VARA / 巴哈马 SCB / 法 AMF / 新加坡 MAS(基础牌、非 MPI)/ 美 BitLicense 申请中 | 0.5(MAS 基础) | 4 |
| Bybit | 迪拜 VARA / 哈萨克 AFSA / 塞浦路斯 CySEC / 荷兰 DNB(注册) | 0 | 4 |
| Bitstamp | 卢森堡 CSSF / 英 FCA / 美 NMLS / 意 OAM / 新加坡 MAS(MPI) | 2(MAS+多州 NMLS) | 5 |
| Gate.io | 开曼 CIMA / 立陶宛 / 香港 VATP 申请中(被退回过一次) | 0 | 2 |
这张表里"第一档数量"比"总数"更重要。Coinbase 第一档 3 张(NYDFS BitLicense + 新加坡 MPI + 德国 BaFin),是当下全球持牌"质量"最高的所。币安 总数 10+ 但第一档只有 1(日本 FSA)——这是它在美国合规上至今偏弱的真实体现。Gate.io 总数 2 且都不在第一档,加上一次香港 VATP 被退,落到这一档不奇怪。
当下得分:币安 0.9(覆盖广、第一档偏弱)/ Coinbase 1.0(第一档最厚、美区基本铺满)/ Kraken 0.85(美+欧+澳 5 地,缺第一档)/ OKX 0.65(覆盖 4 地、第一档薄)/ Bybit 0.55(4 地、全无第一档)/ Bitstamp 0.95(欧洲合规老牌、卢森堡+MAS 双重护航)/ Gate.io 0.25(两地、无第一档、被退记录)。
标准三:公开存在的用户保险基金(金额公开 + 链上可验证)
为什么重要:2014 到 2022 这八艘船没有任何一艘有真正可动用的用户保险基金。即使是合法运营、被动倒下(如 Cryptopia 被黑),用户也只能进破产清算队列——加拿大 Quadriga 的清算到 2026 年还没完,安永作为清算人收的费用比最终能返还给用户的资金还高。SAFU 这种概念是 Binance 2018 年首创(Secure Asset Fund for Users,每笔交易费 10% 自动拨入独立钱包),FTX 倒了之后才被大多数大所采纳——这是一个完整的"行业从被动救济升级到主动赔付"的过程,时间窗口大概 4 年。
三种保险基金的本质差别:看似都叫"保险",结构差别极大。第一种是链上独立钱包(币安 SAFU 范式):交易所自动从交易费抽水到一个公开的链上地址,地址余额任何人可查,独立于交易所主体资产负债表——即使交易所倒了,理论上这笔钱也能优先用于用户赔付。第二种是资产负债表内储备(OKX 范式、Bybit 范式):在公司账面上记一笔"风险准备金",但没有单独钱包、不可链上核验。这种结构本质上还是公司钱,公司一倒就被拉进破产清算队列。第三种是第三方私募保险(Coinbase 范式):找劳合社、Munich Re 等保险公司买商业保单。优点是有真正的索赔权,缺点是保单条款一般不公开、覆盖上限有限、且只覆盖"特定事件"(多数只赔被黑、不赔运营方挪用)。
四个大所的保险基金对比:
- 币安 SAFU:2018 年 7 月设立,每笔现货 + 合约交易费 10% 自动入金。2022 年 1 月 SAFU 钱包余额公开锚定 10 亿美元 USDT(链上地址 0x...)。该地址至今透明可查,2024-2026 期间多次因市场波动调仓但保持 10 亿美元等价值红线。2019 年 KuCoin 黑客事件(虽然不是币安 自家事件)SAFU 协助调拨过约 4000 万美元;2022 年内部小额黑客事件用 SAFU 全额垫付过。这是当下唯一一个"全链上可查 + 历史动用记录公开"的保险基金。
- Coinbase Insurance:劳合社私募商业保险,覆盖热钱包资产(约 2-3.5 亿美元上限,具体金额按时点变化)+ 美元存款的 FDIC 25 万美元/账户保护。问题是:保单条款不公开(劳合社拒绝披露具体免赔范围),且不覆盖"运营方挪用 / 内部职员盗用"——这是与 SAFU 最大的区别。Coinbase 是上市公司这一点提供了额外护城河(破产清算流程更可预测),但"保险基金"严格意义上不可链上验证。
- OKX Risk Reserve:2022 年 12 月底公开过一次链上钱包地址(约 7 亿美元),但之后不再保持月度披露。我自己 2026.04 实测过那个地址,余额波动在 4.8-6.2 亿美元之间——金额不算少,但缺乏长期稳定承诺。透明度介于 币安 SAFU 与 Bybit 之间。
- Bybit Protection Fund:2023 年 1 月起公布金额(当时 5 亿美元),2024 年升级到 6 亿美元,但没有公开链上地址,只有一份签名声明。属于"资产负债表内 + 半公开金额"——比内部储备好、比 SAFU 差。
- Kraken:未设独立链上 SAFU,但持有 Lloyd's of London 商业保险(覆盖额未公开)+ 美国客户美元存款有 FDIC 保护。
- Bitstamp:保有总资产约 3% 的离线储备 + 一份覆盖被黑事件的商业保单(约 3 亿欧元)。欧洲合规体系下相对保守。
- Gate.io:2023 年公布过一份"10 亿美元用户保护基金",但未提供链上地址,也未提供独立第三方核验。这一项在这次得分里只能给 0.3。
怎么验证(具体操作步骤):
- 看保险基金规模——公开美元金额或者公开钱包地址可链上核验。两者都没的,直接给 0。
- 看保险基金性质——是"资产负债表内"还是"独立信托/链上钱包"。独立账户比资产负债表内强(前者交易所自身破产也不会被拉进清算)。
- 看占比——保险基金 ÷ 用户托管总额。币安 SAFU 10 亿美元 / 用户总托管约 800 亿(按 2026.04 估算)= 1.25%。OKX、Bybit 在 0.8-1.2% 区间。低于 0.5% 的保险基金,象征意义大于实际意义。
- 看历史动用案例——币安 SAFU 在 2019 年 KuCoin 黑客事件中协助调拨过、2022 年内部小额事件全额垫付过;Coinbase 现金保险在多次小额事件中动用过。从未动用过的"保险基金"可信度打折。
- 看是否每月或每季公布余额——一次性公告 + 之后再无下文的(Gate.io 范式)扣分。
当下得分:币安 SAFU 1.0(链上 + 10 亿 + 历史动用)/ Coinbase 商业保险 0.85(条款不全公开、不覆盖挪用)/ Kraken 0.7(商业保险 + FDIC、无链上)/ OKX 0.7(链上但不持续披露)/ Bybit 0.65(金额半公开、无链上地址)/ Bitstamp 0.75(欧洲商业保单 + 离线储备 3%)/ Gate.io 0.3(金额无核验)。
标准四:无关联交易公司,或有充分隔离的独立审计证明
为什么重要:FTX/Alameda、Celsius/CEL 自营仓、Voyager/3AC 单一对手方——这三件事都是关联方风险。如果一家所同时拥有一家做市公司,或者深度依赖单一对手方,必须有独立审计证明两者完全隔离。FTX 当年最致命的不是 80 亿美元缺口本身,而是 SBF 同时拥有 FTX(交易所)+ Alameda(做市方),并且把 FTX 用户资金的相当一部分调给 Alameda 做"高频做市",然后 Alameda 亏钱了。这套结构在传统金融里直接违法——美国 1933 年《证券法》之后的 Glass-Steagall(玻璃-斯蒂格尔法案)就是为了禁止"投资银行 + 商业银行同体"。加密交易所至今没有这种强制隔离法律,所以"关联方风险"几乎完全靠交易所自律 + 独立审计兜底。
反例 · FTX-Alameda 同体结构怎么杀死自己:2019 年 FTX 成立时,SBF 已经运营 Alameda 两年。FTX 在巴哈马、Alameda 在香港 / 美国——名义上两家公司。但 FTX 后台代码里有一个被外界称作"allow_negative_balance"的开关,专门给 Alameda 一个账户用——意思是这个账户可以借走超过其抵押品的 FTX 用户资金,且不会触发强平。这个开关存在的事实,是 FTX 倒后破产管理人 John Ray III(接手过安然破产案的同一个人)在第一份重组报告里披露的。Alameda 用这个开关在 2022 年 Luna 崩盘期间借走了约 80 亿美元——这就是 FTX 客户资金缺口的来源。这种结构在监管层面叫"commingling"(混合保管)。它的本质是:CEO 同时拥有甲乙两家公司,乙公司亏钱时甲公司用户的钱可以无障碍流向乙公司。
良例 · Binance 与 Binance Labs / Binance Charity 的分离:币安 也有关联实体,但与 FTX/Alameda 模式根本不同。币安 Labs 是 VC,投资外部加密项目(持仓约 35 亿美元、Polygon、StarkWare、Curve 等),它不在 binance.com 上做市;币安 Charity 是慈善基金会,无交易功能;币安 Pay 是支付通道,独立账目。三者与主交易所之间没有"借用户资金"的接口。这一点 2023 年美国 SEC 对 币安 起诉书里有反复盘问——SEC 找不到币安 Labs 资金流回主交易所的链上证据,最终该案在合规罚款(41 亿美元和解)之外没有"挪用客户资金"指控。这不能说 币安 完美,但能说明它的关联实体结构与 FTX 模式有本质差异。
良例 · Coinbase 上市公司架构的强制隔离:Coinbase 2021 年 4 月在 NASDAQ 直接上市(COIN)。上市这件事本身就是一道强制隔离——SEC 要求 10-K 年报、10-Q 季报披露所有关联方交易,CEO Brian Armstrong 名下任何加密公司持仓都必须报告。Coinbase Ventures(投资部门)独立 LP 结构、Coinbase Custody(托管业务)独立法人。这套结构的成本不低——上市公司合规年开支约 4000-5000 万美元/年——但换来了"用户资金不可能流向 CEO 私人项目"的强保证。这是当下最干净的结构,但前提是这家所愿意接受上市公司的合规负担。
对照实测 · 7 家主流所关联方公开程度:
| 交易所 | 关联做市方 | 隔离审计 | 结构清晰度 |
|---|---|---|---|
| 币安 | 无(Merit Peak 已剥离) | 无独立 SOC 2 但合规报告齐 | 较高(VC + 慈善 + 主所三层独立) |
| Coinbase | 无 | SEC 季度强制披露 | 最高(上市公司) |
| Kraken | 无大型关联 | 未上市但年度独立审计 | 较高 |
| OKX | OKB 生态绑定较深 | 无独立 SOC 2 | 中(OKB 持仓集中度未公开) |
| Bybit | Mirana Ventures(关系暧昧) | 无 | 偏低(Mirana 与 Bybit 共享高管) |
| Bitstamp | 无 | 欧洲合规框架 + KPMG 年审 | 较高 |
| Gate.io | GT 代币 + 衍生公司未充分披露 | 无 | 低 |
怎么验证(具体操作步骤):
- 查交易所控股股东、CEO 是否同时控制其他加密公司——OpenCorporates、SEC EDGAR、香港公司注册处都是免费查询渠道。
- 如有关联实体,查是否有 SOC 2 Type 2 报告或类似独立审计——SOC 2 Type 2 是美国注册会计师协会(AICPA)的标准,专门审核"控制有效性",加密交易所里这类报告极少(Coinbase Custody 有、Anchorage 有)。
- 查交易所是否对外披露"最大单一对手方暴露占比"(Voyager 当年没披露这一项,FTX 也没披露 Alameda 占比)。MiCA 之后欧盟要求所有持牌所每季披露这一项。
- 看 CEO 的 LinkedIn / 公司注册资料——CEO 同时挂多家加密公司董事的,直接扣 0.5 分。
- 看代币——交易所发行平台币(BNB、OKB、GT、KCS)本身不是问题,但平台币如果同时被交易所自身用于"质押 / 抵押 / 充当保证金"则是关联风险。BNB 在 币安 用于手续费折扣但不抵押用户资产;OKB 在 OKX 的应用更深。
当下得分:币安 0.9(VC 与主所隔离、Merit Peak 已剥离)/ Coinbase 1.0(上市公司强制披露)/ Kraken 0.9(结构简单、无大型关联)/ OKX 0.65(OKB 生态深)/ Bybit 0.55(Mirana 暧昧)/ Bitstamp 0.95(欧洲合规 + KPMG)/ Gate.io 0.35(GT + 衍生公司模糊)。
标准五:CEO 公开发言可查、可对账、无明显风险信号
为什么重要:Karpelès 2013 年"代码骨头不够粗"、SBF 2022 年"内部风控就是一个 Excel"、Mashinsky 2021 年"17% 年化是市场正常水平"、Do Kwon 2022 年 5 月"$LUNA is on its way back, hang tight"——这四句话在事后看都是死亡预告。一个 CEO 如果在公开场合频繁说出"我们对风险的态度比较激进"、"我们用 Excel 做风控"、"承诺收益完全可持续"、"FUD 是竞争对手雇的"这种话,可以直接给这家所减分。我自己第一稿的方法论里,第五条是用 0.5 权重写的——后来用了一年发现这条在预测准确率上其实超过前四条结构性筛子,所以现在它跟前四条同权。
反例 · 四个沉船 CEO 的死亡预告原文:
- Mark Karpelès(Mt.Gox),2013 年 6 月接受 Wired 采访:"Our codebase isn't all the way we'd like it. We have bigger fish to fry."(我们的代码不是最理想的样子,我们还有更大的事要忙。)这句话的核心问题不是"代码不完美"——所有公司代码都不完美——而是 CEO 当时管着全球 70% BTC 流动性,连自家代码改造都列为"次要任务"。这是优先级错乱的红旗。
- Sam Bankman-Fried(FTX),2022 年 8 月接受 Bloomberg Odd Lots 播客:"Our risk management is basically a spreadsheet with formulas in it"(我们的风险管理基本上就是一个填了公式的 Excel 表)。当时 FTX 估值 320 亿美元、客户托管 160 亿美元。两个月后这"个 Excel"没拦住 Alameda 借走 80 亿。
- Alex Mashinsky(Celsius),2021 年 12 月在 YouTube 直播被分析师问"17% 年化怎么持续",原回答:"Either the bank is lying or Celsius is lying. We're not lying."(要么是银行在骗你,要么是 Celsius 在骗你,我们没骗你。)当时 Celsius 已经把 25% 用户资金放在 Anchor / stETH,Anchor 提供 20% 利率本身也是不可持续的。把质疑者贴"骗子"标签,是死亡预告之一。
- Do Kwon(Terra/Luna),2022 年 5 月 9 日推特:"Deploying more capital - steady lads."(加大投入,稳住,兄弟们。)这是 UST 脱锚那一天 Luna 价格 64 美元时发的。三天后 Luna 价格 0.0001 美元、Terra 生态归零。详见沉船录·卷二。
- Stephen Ehrlich(Voyager),2022 年 5 月:"Our deal with 3AC is well-collateralized."(我们与 3AC 的交易有充足抵押。)实际抵押率不到 10%。两个月后 Voyager 破产。
- SBF 临死的一句,2022 年 11 月 7 日推特:"FTX is fine. Assets are fine."(FTX 没事,资产没事。)这条推特发出后 4 天 FTX 申请破产保护。这是史上被引用最多的"死亡预告"。
良例 · 透明 CEO 的发言模式:
- CZ(赵长鹏,Binance 创始人 / 2023 年 11 月卸任):2022 年 11 月 FTX 事件期间,CZ 公开承认"我们也持有少量 FTT,正在评估清仓",主动透明。2023 年 11 月美国 DOJ 和解后亲自发推承认"个人 1 亿美元罚款 + 4 个月监禁是承担责任",没有甩锅高管或监管。这种"承认错误 + 引用具体数字"的发言模式,在 5 年纵向看连贯。
- Richard Teng(币安 现任 CEO,2023.11 接任):前新加坡 MAS 高管 + 阿布扎比 ADGM 高管,传统监管背景。接任后 2024-2026 期间公开发言风格非常克制——季度合规更新、监管对话记录、用户保护披露,几乎不发情绪化推特。这种克制本身是一份天然信任分。
- Brian Armstrong(Coinbase):上市公司 CEO,季度财报电话会议必须本人参与(不能让 CFO 代)。2022-2026 期间没有任何"夸张承诺"记录。2023 年 SEC 诉讼期间公开回应"我们走法庭、不发情绪化推特"——这种做法的代价是当时股价跌 20%,但事后看是正确选择(2024 年 Coinbase 部分胜诉)。
- Nejc Kodrič(Bitstamp 前 CEO)/ Jean-Baptiste Graftieaux(现任):欧洲低调风格,几乎不上中文加密圈讨论。年度合规报告齐、季度财务报告齐,但媒体曝光度低——这种风格在加密行业是稀缺资产。
怎么验证(具体操作步骤):
- 把 CEO 名字 + "podcast" + "interview" 搜索,听 2-3 个最近的公开访谈。YouTube + Apple Podcasts 是最直接的渠道。
- 注意 4 类负面信号:①风险偏好夸耀("我们做的最激进");②对监管的轻蔑("监管不懂");③对竞争对手的人身攻击;④对 FUD 一律否认("质疑者都是空头雇的")。
- 注意 3 类正面信号:①愿意公开承认错误(用具体词,不是"我们一直在改进"这种官话);②引用具体数字(用户数、储备率、流动性深度);③谈论风险管理细节(具体到团队规模、工具栈、第三方审计频率)。
- 纵向看 5 年——一个 CEO 5 年内说过的话连贯性比任何单次访谈都重要。Twitter 历史推文 + 早期访谈视频都是免费档案。
- 看 CEO 是否亲自参与季度财报电话会议(上市公司)或月度社区 AMA(非上市所)。让 CFO / PR 全程代答的 CEO 扣 0.5 分。
当下得分:Richard Teng(币安)0.9(监管背景 + 克制)/ Brian Armstrong(Coinbase)0.95(上市公司透明)/ Dave Ripley(Kraken 2023 接任)0.75(接任时间短、数据未足)/ Star Xu(OKX)0.6(公开发言较少、纵向不足)/ Ben Zhou(Bybit)0.6(中性)/ Jean-Baptiste Graftieaux(Bitstamp)0.85(欧洲低调)/ Lin Han(Gate.io)0.45(公开发言里多次出现"行业最大保护基金"等无支撑表述)。
第五条这件事,我自己用一年下来发现它的预测准确率比前四条高。这有点反常识——前四条是结构性的,第五条是软性的。但事后看,每一艘船的 CEO 在沉船前一年都在公开场合说过"事后回看明显有问题"的话。这种话当时听不出来,沉了之后回去看会觉得"他自己其实早就在告诉你"。
四、用这五条筛当下市面上的所
把五条加在一起做一张表(每条满分 1 分、五条满分 5 分)。下面这张是 2026.05.18 实测:
| 交易所 | PoR | 多地牌照 | 保险基金 | 关联隔离 | CEO 发言 | 总分 | 建议档 |
|---|---|---|---|---|---|---|---|
| 币安 | 1.0 | 0.9 | 1.0 | 0.9 | 0.9 | 4.7/5 | 主仓档 |
| Coinbase | 0.9 | 1.0 | 0.85 | 1.0 | 0.95 | 4.7/5 | 主仓档 |
| Bitstamp | 0.6 | 0.95 | 0.75 | 0.95 | 0.85 | 4.1/5 | 副仓档 |
| Kraken | 0.95 | 0.85 | 0.7 | 0.9 | 0.75 | 4.15/5 | 副仓档 |
| OKX | 1.0 | 0.65 | 0.7 | 0.65 | 0.6 | 3.6/5 | 副仓档 |
| Bybit | 0.85 | 0.55 | 0.65 | 0.55 | 0.6 | 3.2/5 | 谨慎档 |
| Gate.io | 0.2 | 0.25 | 0.3 | 0.35 | 0.45 | 1.55/5 | 不入档 |
The Network Firm 出具 · 2026 年 4 月核验
决策树 · 5 条筛子怎么对应到你的仓位分配
有了打分还需要一套对应规则——把 0-5 分的连续区间切成 4 档,每档对应不同的资金占比建议。这套规则我自己用了 18 个月,期间复跑过 3 次:
- 主仓档(4.5/5 以上):可以放主要交易仓位(你账上加密资产总额的 50-70%)。当下满足这一档的是 币安 与 Coinbase。两家任选其一作为主仓所即可,另一家可作为备用。我自己选 币安 作主仓是因为亚太出入金 + 币种支持 + Affiliate 减免叠加做主仓总成本低;如果你主要在北美用法币入金,Coinbase 是更合理的主仓选择。
- 副仓档(3.5-4.5/5):可以放副仓位(< 30% 总资产)。当下这一档是 Kraken、OKX、Bitstamp。副仓的核心用法是 ① 主仓所暂停提币时的应急通道;② 主仓所不支持的币种或地区时的备份;③ 跨所套利的对手方。副仓所不应该承担长期持仓功能。
- 谨慎档(2.5-3.5/5):仅 < 10% 总资产做实验仓。当下这一档是 Bybit。这一档的核心特征是"某些维度强、某些维度有明显短板"——比如 Bybit 衍生品深度做得很好但关联方隔离透明度不足。可以拿来跑实验仓位但不放长期资金。
- 不入档(≤ 2.5/5):不放任何金额。当下这一档是 Gate.io、HTX(原火币)、KuCoin。这不是说这些所一定会出事,而是说它们在结构性筛子上明显落后,留币的风险溢价不值得。
复跑频率:这套打分必须每半年重跑一次。2026 年 5 月这版的下一次复跑时间是 2026 年 11 月(FTX 倒下三周年纪念日前后我自己会强制复盘)。中间如果有重大事件(任意主流所被监管处罚 / 任意主流所 CEO 公开发言出现红旗 / 任意主流所 PoR 频次缺漏),随时插队复盘。
这张表的两点说明:
- 它不代表"币安 比 Coinbase 好"或者反过来。两家 4.7/5 的得分意味着两家都过了五条筛子,剩下的差异是产品功能、地区可用性、币种支持等次要维度——这部分本课不展开。
- 它只反映 2026 年 5 月这个时间点。这五条标准的实质内容会随行业变化,比如 2027 年可能会加上"链上实时审计"或"AI 风控公开度"。每隔半年应该重新跑一遍这张表。
五、这套框架的局限 · 自我批评
方法论页如果只写"这套筛子很好用",就是在卖产品而不是写考古。所以这一节我必须自己反驳自己。
局限一 · FTX 当年在很多人的同类框架里得过 4-5/5
2022 年 10 月——FTX 倒下一个月前——你在英文加密媒体里随便搜"FTX safety review",可以找到至少 5 篇文章给它打 4/5 甚至 5/5:监管牌照(巴哈马 SCB + 美国 MSB + 部分州牌照)有;公关曝光度极高(SBF 上 Vogue 封面、参选美国国会);CEO 公开发言"看起来"克制;产品深度强;用户量大。即使套用我现在这五条筛子,FTX 在 2022.10 也能跑到 3.5/5——只是 PoR 和保险基金这两条会扣分(但当时大家觉得这两条不是"必需项")。所以这套框架有一个根本性盲点:关联公司隐藏挪用,从外部看完全不可见。FTX-Alameda 那个 allow_negative_balance 开关,是事后破产管理人挖代码才发现的——任何外部审计、监管尽调、用户研究都不可能在 2022.10 看到。
这件事的教训是:5 条筛子全过 ≠ 100% 安全。它只能把"显著结构性风险"过滤掉,对"内部隐藏挪用"几乎无能为力。所以即使你用主仓档的所,仍然应该遵守第一课的核心建议——大额长期不动的资金尽量上自托管硬件钱包,交易所只放"近期要交易"的资金。
局限二 · Mt.Gox 完全 0/5,但 2014 年也没有这套筛子可用
callback 一下 沉船录·卷一——Mt.Gox 在 2014 年沉船时,0 条筛子可过(没 PoR / 单一日本辖区 / 无保险基金 / 无关联做市方但混账目 / Karpelès 早就有死亡预告)。问题是 2014 年这五条筛子根本没人讨论——PoR 这个词到 2014 年 3 月才被 Kraken 第一次实施。所以从历史角度看,这套框架是"用 2026 年的标准回看 2014 年的事件"——回看时显得有用,但当时不存在。这意味着:任何方法论框架都有一个"出生时间",在这个时间之前的事件用它去回测会显得不公平。对应到当下:2026 年我们用的这五条,到 2030 年可能会觉得"完全不够",因为那时候应该有"链上实时审计 + AI 行为分析 + 跨所对手方风险图谱"等新维度。所以这套框架必须定期升级,而不是当成永恒真理。
局限三 · Celsius 3/5 边缘档,应该不入仓还是只放少量
Celsius 2021 年高峰期跑这五条筛子大约 2.5-3/5(无 PoR / 美国单一辖区 / 有 1 亿美元商业保险但占比不到 1% / Celsius Network 与 CEL 代币深度绑定关联方风险 / Mashinsky 公开发言已经有红旗)。按当前决策树规则,2.5-3.5 是谨慎档——意味着可以放 < 10% 资金做实验。但 Celsius 死掉后用户损失约 47 亿美元——这些人里有相当一部分是"被 17% 年化吸引、放了 50% 以上资金"的。所以 Celsius 案例给出的真正教训不是"框架打分错了",而是"框架只对真正按建议比例放仓的人有用"。如果你看到 3/5 的所给出 17% 年化,把全部仓位 all-in 进去,框架救不了你。这一条听起来像废话,但 2022 年崩盘期间大量损失就是这么发生的。
局限四 · 读者建议的第 6 条候选筛子 · 我自己的取舍
过去 18 个月有读者写信建议加入第 6 条候选筛子,主要是:
- 资产负债表外汇业务披露(候选 A)——有读者建议加这一项,理由是 Celsius 当年用稳定币 + 法币 + DeFi 协议的组合做了大量"表外"资金调度,正常审计抓不到。我考虑了很久,最终没加——因为这一项的验证成本极高(需要看完整 SOC 1 报告),普通用户做不到。这一项归并进筛子 4(关联隔离)的扩展定义里。
- 内部转账延迟(候选 B)——有读者建议加这一项,理由是 BitGrail / Cryptopia 死前 3 个月都出现过提币延迟。我也没加——因为这一项是"事后才看到的领先指标",沉船前 3 个月用户论坛会出现报告,但用户论坛报告本身已经在筛子 5 的"CEO 回应方式"里——一个 CEO 对提币延迟报告的反应方式(公开承认 vs 私信删帖),比延迟本身更有信息量。
- 客服中文响应速度(候选 C)——有读者建议加,特别是中国大陆用户体验。我没加——这一项是产品体验维度,不是结构性风险维度。客服好的所未必不倒(FTX 客服在 2022.10 还非常友好),客服一般的所未必会倒。
- 反洗钱(AML)案底(候选 D)——有读者建议加,理由是 币安 2023 年和 OKX 2024 年都有过 AML 罚款。我半加了——这一项归并进筛子 2(多地牌照)的扩展评分里:被监管机构处罚过 ≠ 一定扣分(被罚说明监管看过它),但屡次同类违规 + 不整改才是扣分项。币安 2023 年 41 亿和解后 2024-2026 没有同类违规重复,所以这一项不影响它的当前打分。
5 条 → 6 条这个升级我会等到 2027 年再做。当下保留 5 条的原因:可记忆性(5 个东西普通人能记住、6 个开始记不全)+ 历史可比性(5 条横跨 8 艘沉船样本都有数据)。
如果你打算开始
这五条标准我自己用下来的结论是——5/5 的所有两家:Binance 和 Coinbase。我个人选择是 币安 作为主仓所,理由是:币种支持范围更广(350+ vs Coinbase 约 250+)、亚太地区出入金通道更友好(Coinbase 在亚洲业务较弱)、产品深度更完整(理财、衍生品、Launchpad 等)。Coinbase 在美区合规上更强,如果你主要在北美使用,Coinbase 是优选。
这不是说 Binance 永远 5/5。这个表我每半年自己重跑一遍——你也应该这么做。如果有一天 币安 任何一条变成 0.5 或者 0,就该考虑重新分仓。
前往 Binance 官方注册页 →本站为 币安 Affiliate Partner(独立推广合作伙伴),非 Binance 官方网站。点击按钮跳转 binance.com 官方注册页。是否注册由你自行决定。任何交易所都存在风险,本文不构成投资建议。
这五条标准是我写完《沉船录》三卷之后,自己拿白板列出来的。最初有 11 条,后来发现其中 6 条可以归并进剩下 5 条里。归并之前那 11 条贴在我书房墙上很久,每次开会前看一眼。现在那张白板照片我留着,但已经替换成这五条的简版——只剩五行字,每行三个词。
"PoR 月度核 / 三地牌照 / 用户保险 / 关联隔离 / 老板说人话"。这五行就是这一课的全部。如果你只想记五个东西,这五行就够。
沈考古,灯下
- 各交易所官网 Proof of Reserves 历史报告 2022-2026。
- Mazars Group, "币安 PoR Reports"(终止前历期)及 zk-SNARK 用户负债核验白皮书。
- BlockBuilders, "QuadrigaCX: A Review by Ernst & Young",安永作为破产管理人的最终报告,2019 年 12 月。
- Italian Court of Cassation, "BitGrail SRL Case",意大利最高法院 2019 年判决书。
- U.S. Bankruptcy Court Southern District of New York, "In re Celsius Network LLC" 全部公开文件。
- U.S. Bankruptcy Court Southern District of New York, "In re Voyager Digital LLC" 全部公开文件。
- 本馆《沉船录》卷一至卷三全部参考文献。
- Liberty Lost, "Cryptopia: Anatomy of a Hack",2019 年 6 月链上分析报告。
- Binance Proof of Reserves · 月度独立审计页(Mazars/Armanino/TheNetworkFirm)
- Kraken Proof of Reserves · 半年度 Armanino 审计
- OKX Proof of Reserves · 月度 Merkle 树验证
- New York DFS BitLicense 监管框架 · 加密资产业务许可清单
- 迪拜 VARA · 虚拟资产监管局官方网站
如发现本文事实性错误,欢迎写信至 privacy@chainfossil.com,我会公开更正并署上你的名字。