如何“减震消灾”?浅谈头部数字货币机构的风控之道
风险是一个舶来词,源于意大利语“RISQUE”意味着大自然中的客观危险。而在现代社会,风险与其说是一种命运,不如说是一种选择,它取决于我们选择的自由程度。
金融史学家彼得·伯恩斯在风险管理经典著作《与天为敌——风险探索传奇》中写道。“企业兴盛或衰落、股市繁荣或崩溃、战争与经济萧条,一切都周而复始,但它们似乎总是在人们措手不及的时候来临。”
金融的核心要素之一是风控,为数字货币市场提供流动性的交易所更是如此。数字货币交易平台,身兼资产托管、交易撮合、清算、交易信息发布等多种职能,还融合了券商、基金等机构的属性,俨然是一个超级金融中心。
区块链行业风控缺位显然是一线负责人的共识。这也酿成了诸如FCoin“暴雷”、交易所被盗币等行业悲剧。如何做好风控,成为全行业需要实时关注的重要命题。
1. 风险丛林
加密市场受影响最大也是最难抵抗的便是政策所带来的系统性风险。监管政策的变化,直接影响着整个市场的波动。
市场参与主体能够掌控的则是非系统性风险。例如,围绕系统安全和稳定性的技术风险;决策不当而引发的经营风险;资产不能即时以合理价格成交的流动性风险;无法及时执行提现、转账等操作所造成的信任风险;为实现自身利益最大化,而损害投资者利益的道德风险等。
风险之多不胜枚举,风控部门关系牵连着交易所的每根神经。一位交易所资深从业者说到,“风控部门在公司处于较高地位,时刻盯着风控系统,监测诸如流动性、羊毛党、套利、账户异常等各个风险项目,与各个部门紧密联系。”
一则头部交易所招聘风控主管的职责中也明确要求,与其他部门(例如产品、技术团队)进行沟通开展工作,有效影响其他合作方。
风控是与自由的博弈,快速发展阶段,风控无疑会制约速度,仍处草创时期的行业现状并不理想。
“从实际情况看,目前很多中小交易平台在风控方面的意识还是不够的”。在谈及行业风控意识的现状时,数字货币交易所OKEx风控相关负责人表示。
“行业目前在风控方面的意识还是非常欠缺的,无论是在物理层面、系统层面、治理等层面的风控,同业很多都是相对欠缺的”。Matrixport高级副总林榕在接受采访时表达了同样的看法。Matrixport是一家来自新加坡的数字金融服务平台,提供数币交易、托管、借贷、支付等服务。
毋庸置疑,如果区块链行业要跃入主流,身处行业中心的交易平台必然要处理好“风控之殇”。
2. 风控的核心目标——资产安全
据Chainalysis的报告,2019年数字货币平台失窃资产总值高达2.83亿美元。尽管门头沟事件过去了近6年,数字货币“不翼而飞”的现象依然时有发生,数字货币能否得到足够的安全保障依然时时牵动着所有从业者的神经。
火币风控相关负责人表示,火币建立了严格的财务审计和实时监控告警系统,通过冷热钱包分离和硬件钱包等方式,为每一位用户建立先行赔付机制,并设立了用户保护基金。据了解,币安、Gate.io等交易所也为用户设立了投资者保护基金。
币安团队表示,在资产安全风控方面,币安注重实时与批量对账,区块链地址实时的跟踪,判断与追溯。同时,委任专业客服与风控专家分析用户资产风险,并加强风控的用户教育。
托管存储是守卫资产安全的重要法门,也是传统金融行业向区块链行业的关键映射,更是加强资产安全的必由之路。
Cobo钱包创始人神鱼表示,没有足够技术能力的中小区块链企业,不应快速迭代业务,而应该考虑引入第三方托管服务以提升数字资产存储安全的水平,还可以向相关机构加购保险。
建构多重钱包体系、引入托管服务是外部因素,资产安全还考验着平台的主观道德风险。人人比特创始人赵东建议,平台可以选择尽可能地公开透明,邀请同行一起来监督自己以防止作恶。透明之后,企业一但挪用客户的资产,各方都能有所注意,这就减小了客户资产被挪用的可能性。
3. 消除达摩克里斯之剑——合规风控
数字货币平台仍然面对诸多不确定性,主动拥抱监管、合规,依法依规经营是减少政策和法律风险的必要条件。目前行业内一线数字货币平台均建立了不同程度的合规风控,覆盖事前、事中与事后的合规风控。
火币有一套标准化的 KYC/AML反洗钱系统,有严格的帐户开户原则及事前审查标准。
Matrixport持有香港信托公司牌照,并接受瑞士金融管理局(FINMA)的监督。
币安通过分布式运营来分摊合规风险,如先后在日本、马耳他、泽西岛、新加坡等国与地区申请牌照,开设法币交易通道。币安官方表示,币安在全球范围内陆续与多个AML/KYC等合规公司及相关咨询公司合作,如Chainalysis、Refinitiv、Ciphertrace、IdentityMind和Elliptic等。
OKEx风控负责人表示,合规部门负责OKEx内部各条产品线和业务线的合规审核,提供风险管理指引;法律内控部门提供专业的法律指导意见,规避法律风险。
4. 构建平台安全的守护神——技术风控
对于交易平台来说,技术安全问题是最常见的风控问题,即使头部大厂也难以避免。据报道,OKEx在2月27日晚至28日凌晨五点期间经历数次DDoS(分布式拒绝服务攻击),在28日29日期间,Bitfinex与币安也均遭受同样的攻击,后者甚至一度出现短暂宕机。
牢固的技术之盾,是资产安全与平台信誉的守护神。
Matrixport对包括交易、借贷等各业务的市场风险实现量化监控、自动策略对冲,以持牌机构要求建立网络安全、合规系统、隐私数据保护、技术风控,还雇佣全球领先的外部公司进行IT审计咨询;
OKEx技术风控部门着重于技术风控,推出基于区块链行业的CDS大数据风控安全大脑,专用于风险的监测,分析和处置。实现从“设备、位置、行为、关系、习惯、账户”六个维度,全方位实时风险监控。
币安则构建了一套相对完善的风控系统与手段,基于具体的数据分析构建实时数据计算,以及在线机器学习模型(AI)智能检测等方式,对用户与平台的资产进行风险评估与安全保护。
5. 房间里的大象——内部风控
据全球领先咨询、经纪公司Wills Towers Watson的保险理赔数据,近2/3的网络安全问题是由于内部员工疏忽渎职导致的。神鱼表示,区块链企业内部的安全比外部更为重要,因为大部分安全事件爆出多是因为内外勾结或者黑客在内部潜伏很久,知悉内部架构。
从重要性来说,内部风控理应居于更高层级。无论是OKEx、火币、币安,还是Matrixport、Cobo,其负责人在内控方面都十分强调流程的规范梳理,以及明确的职责分工、权限管理、定期的审计等标准措施。
币安强调,他们针对平台系统和权限做了充分的隔离,使用了权限和信息管控的各类组件和流程,做到信息权限的最小化管理(注:权限最小化原则也称最小授权或最小特权原则,指确保主体仅被授权执行任务与完成工作所必需的权限)。
林榕坦言,Matrixport在内部严格权限分离管理,建立了风控委员会体系,安全事件处理框架等。颇具特色的是,Matrixport除了对员工不定期进行风控相关培训外,还会进行内部“钓鱼执法”,比如给全员发送模仿钓鱼邮件,对疏于风控的职员建立“Wall of Sheep”等。
Cobo推行的措施与Matrxport对员工发送“钓鱼邮件”有异曲同工之妙,前者践行着“零信任模型”,即假设无论在外部/内部,每一步操作都可能是危险的,都想要验证与信任,经过实时风控系统的检验。神鱼还建议,区块链企业一定要构建自己内部数据的系统、实时的对账系统与内部风控。
6. 传统金融的他山之石
除非经由记忆之路,不能抵达纵深。
谈及对风控工作的感受时,林榕表示,“数币市场的风控要求应该甚至比传统要高。尤其一方面,数币市场波动率超过了绝大多数的传统金融资产,另一方面,区块链支付的信息流与资金流合一,匿名性更强,钱转出去了,很难有追悔的机会”。
作为在德银、蚂蚁金服等一线金融机构关键岗位摸爬滚打而出的从业者,林榕及其背后的Matrixport在企业中所推行的措施借鉴了不少传统金融/互联网领域的打法,而这些正是区块链行业风控亟需学习的宝贵经验。
火币风控相关负责人认为,传统金融领域征信体系相对成熟,互联网则会运用大数据将用户行为转化为信用记录。对于区块链领域而言, 如何有效地提取链上信息, 从而转化为风控决策指标, 是需要努力的重要方向。
赵东指出,较为成熟的行业格局应当是,交易与资产应当分离,交易所只负责撮合以及清算。如果更进一步,资产的结算、清算以及托管都应该由不同的主体来完成。各方共同审计所有账目,各自负责。
数币市场要做好风控,一方面需要从成熟行业嫁接经验,另一方面,相关投入的力度仍有待提升。
剑桥大学Judge商学院2018年12月发布的研究报告《全球加密资产基准研究》(《Global Cryptoasset Benchmarking Study》)表明,数字货币交易所的安全团队平均占团队总人数的13%,平均花费17%的预算用于保证交易所安全运行。
考虑到数字货币平台不菲的盈利能力与巨大的增长空间,数字货币平台显然需要从长计议,投入更多资金,招揽更多高水准风控人员、构建更为先进完善的风控体系。
“对风控的投入,可以看成是机会成本。风控越严,需要投入的资源越多,可能因此失去的业务机会越多,而降低的是现有资产损失的概率。类似我们这样的企业,越是重视在已有产业的声誉和长远的利益,自然会越重视客户资产安全。"林榕说。
*声明:本文仅为提供市场资讯,不构成任何投资建议。
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場