Автор: Natalia Orlova | Exchange Risk Analyst | Бывший Head of Due Diligence в Galaxy Digital

Ноябрь 2022. FTX коллапсирует. $8 миллиардов клиентских средств исчезает. Сэм Бэнкман-Фрид превращается из крипто-спасителя в осуждённого мошенника. Крупнейшая биржа индустрии оказалась карточным домиком, построенным на лжи.

Два года спустя, чему мы реально научились? Что ещё важнее — что мы изменили?

Что FTX на самом деле сделал неправильно

Давайте будем точны насчёт провала. FTX не был рыночным крахом или техническим эксплойтом. Это было мошенничество. Клиентские депозиты тайно передавались в кредит Alameda Research, торговой фирме SBF. Alameda играла и проиграла. Клиентские средства исчезли.

Механика была простой: никакого разделения клиентских активов, никакого реального учёта, никакого взрослого надзора. FTX работал как личная копилка с торговым интерфейсом.

Предупреждающие знаки существовали. Баланс Alameda — когда утёк — показывал токены FTT как основные активы. У FTX не было CFO годами. Аудиты приходили от неизвестных фирм. Корпоративная структура раскинулась на 130 юрлиц в множестве юрисдикций.

Профессиональные инвесторы пропустили всё это. Sequoia, Paradigm, SoftBank — софистицированные фонды выписывали чеки без базовой due diligence. Хайп был слишком силён, FOMO слишком реален.

Ответ proof-of-reserves

Немедленным ответом индустрии стал proof-of-reserves. Биржи публиковали криптографические аттестации: вот наши адреса кошельков, вот сколько мы держим, пользователи могут верифицировать on-chain.

Binance, Kraken, OKX и другие поспешили внедрить. Сторонние аудиторы подписались. Театр прозрачности начался.

Проблема: proof-of-reserves доказывает, что активы существуют, но не что обязательства соответствуют. Биржа может иметь $10 миллиардов в кошельках и $15 миллиардов клиентских требований. Доказательство не показывает ничего.

Реальный proof-of-solvency требует доказательства обязательств тоже — что биржа должна клиентам. Это сложнее. Требуется полная история транзакций, верификация балансов пользователей и настоящий аудит. Большинство имплементаций "proof-of-reserves" полностью это пропускают.

Это лучше, чем ничего. Но это не то, что маркетинг предполагает.

Что реально улучшилось

Отдадим должное — некоторые вещи изменились значимо.

Регуляторное давление усилилось. Правоприменительные действия США умножились. Binance заплатил $4.3 миллиарда в урегулированиях. Coinbase был засужен, но выжил. Эра дикого запада закончилась — управление крупной биржей теперь требует реальной инфраструктуры комплаенса.

Институциональное хранение улучшилось. Coinbase Custody, BitGo, Fireblocks — регулируемые кастодианы со страховкой, сегрегированными счетами и реальными аудитами. Институции больше не трогают биржи без квалифицированного хранения.

Софистицированность пользователей выросла. Люди реально выводят на self-custody теперь. Продажи hardware-кошельков взлетели после FTX. "Not your keys, not your coins" перешло от шифропанк-слогана к мейнстрим-осторожности.

Мелкие биржи умерли. Длинный хвост сомнительных бирж с фейковым объёмом и questionable практиками — многие просто исчезли. Консолидация вокруг более крупных, более регулируемых игроков.

Что не изменилось

Неудобные истины остаются.

Большинство пользователей всё ещё держат средства на биржах. Удобство побеждает безопасность. Люди активно торгуют, не хотят платить комиссии за вывод, находят self-custody сложным. Поведение, которое позволило FTX, продолжается.

Офшорные биржи всё ещё доминируют. Binance оперирует в регуляторных серых зонах. OKX, Bybit, MEXC — основной объём происходит на биржах с минимальным надзором. MiCA помогает в Европе. Везде ещё — покупатель, остерегайся.

Proof-of-reserves остаётся неадекватным. Два года спустя ни одна крупная биржа не внедрила настоящий proof-of-solvency с верификацией обязательств. Индустрия согласилась на видимость прозрачности без субстанции.

VC due diligence всё ещё сломан. Инвесторы ничему не научились. Следующий хайповый фаундер поднимет миллиарды на вайбах и обещаниях. Те же фонды, которые пропустили red flags FTX, пропустят следующие.

Как оценивать биржи сегодня

Вот мой фреймворк для оценки биржевого риска. Ничто из этого не является финансовым советом — это анализ рисков.

Юрисдикция важнее всего. US-регулируемые биржи сталкиваются с надзором SEC, CFTC, FinCEN. Европейские биржи сталкиваются с требованиями MiCA. Это не гарантии, но значимые ограничения. Офшорные биржи не отвечают никому.

Корпоративная структура должна быть простой. Можешь ли ты идентифицировать материнскую компанию, юрисдикцию регистрации, бенефициарных владельцев? Если структура требует диаграммы для объяснения — это red flag.

Аудиторы должны быть авторитетными. Бухгалтерские фирмы Big Four стоят дороже, но обеспечивают реальную подотчётность. Аудит от "Prager Metis" или подобных неизвестных не значит ничего. Спрашивай, кто аудитор, прежде чем доверять значительные средства.

Прозрачность резервов помогает, но недостаточна. Проверь, публикует ли биржа адреса кошельков. Верифицируй, что активы существуют on-chain. Но помни — это не доказывает платёжеспособность, только что какие-то средства где-то существуют.

История важна. Как биржа вела себя во время кризиса 2022? Обрабатывались ли выводы гладко? Какие-либо подозрительные паузы или ограничения? Прошлое поведение предсказывает будущее.

Неудобная правда о CEX

Централизованные биржи — это фундаментально доверенные третьи стороны. Весь смысл крипты был в устранении таковых. Каждый раз, когда депозитируешь на биржу, ты доверяешь людям не украсть, не быть взломанными, не быть зарегулированными до небытия.

Это доверие нарушалось неоднократно. Mt. Gox. QuadrigaCX. FTX. Сотни мелких провалов. Паттерн ясен: централизованное хранение в конечном счёте проваливается в масштабе.

DEX существуют. Uniswap, dYdX, GMX — можно торговать без централизованного хранения. UX хуже. Ликвидность иногда тоньше. Но твои средства остаются в твоём кошельке до момента сделки.

Я не говорю никогда не использовать CEX. Я их использую. Но отношусь к ним как к горячим плитам — полезно, опасно, требует постоянного внимания. Депозитируй, торгуй, выводи. Не храни. Не доверяй.

Мои прогнозы на 2025

Как минимум ещё одна крупная биржа провалится. Не обязательно мошенничество — может быть регуляторное, может быть взлом, может быть bank run. Индустрия не решила структурно риски, которые убили FTX.

Появятся стандарты proof-of-solvency. Реальные стандарты, с верификацией обязательств, продвигаемые регуляторами, которые понимают ограничения театра proof-of-reserves. Внедрение будет медленным и встретит сопротивление.

Доля объёма DEX вырастет. Не большинство — CEX будут всё ещё доминировать. Но соотношение сдвинется, поскольку UX DEX улучшится, а доверие к CEX деградирует. 20% доля рынка DEX к концу года кажется достижимой.

Self-custody станет проще. Hardware-кошельки станут лучше. Смарт-контрактные кошельки с опциями восстановления станут мейнстримом. Отговорка "слишком сложно" станет менее валидной.

Урок FTX был прост: не доверяй, верифицируй. Два года спустя большинство людей всё ещё доверяют и не верифицируют. Следующая катастрофа неизбежна, пока это не изменится.

Natalia Orlova анализирует биржевые и кастодиальные риски для институциональных инвесторов. Ранее она возглавляла due diligence в Galaxy Digital и имеет сертификат CFA.