Giełdy nie zawodzą na jeden sposób. Zawodzą na siedem. Większość użytkowników poznaje kolejny tryb awarii dopiero, gdy ich dotyka — klient FTX, który mógł wypłacić w poniedziałek, ale nie w środę, wierzyciel Mt. Gox czekający jedenaście lat później, użytkownik w kraju objętym sankcjami, który zalogował się i zastał saldo zablokowane.
To trzeci artykuł serii Self-Custody Fundamentals. Pierwszy, not your keys, not your coins, przedstawił argument. Drugi, custodial vs. non-custodial wallets, wyznaczył linię. Ten inwentaryzuje rzeczywiste tryby awarii — jak wygląda każdy, kiedy się wydarzył i co możesz zrobić, zanim spotka i ciebie.
TL;DR
- Giełda jest custodianem. Custodian może zawieść na co najmniej siedem różnych sposobów, a awarie zwykle się kumulują.
- Siedem trybów: niewypłacalność, hacki, zamrożenie regulacyjne, exit scamy, sankcje, blokada KYC/konta i wstrzymanie wypłat.
- Każdy tryb ma precedens historyczny — Mt. Gox, FTX, Celsius, Bitfinex, QuadrigaCX, Bitzlato, BitMart i wiele innych.
- Ubezpieczenie, regulacje i "audyty" nie eliminują żadnego z tych trybów. Zmieniają, kto decyduje o kolejności wypłat w upadłości, a nie czy upadłość nastąpi.
- Zabezpieczenie dla każdego trybu jest takie samo — trzymaj klucze sam, na urządzeniach, które nie zależą od jednej platformy pozostającej wypłacalną, online i zgodną z prawem.
Tryb 1 — Niewypłacalność
Giełdzie kończą się pieniądze należne klientom. To kanoniczna awaria i ta, którą użytkownicy detaliczni najbardziej lekceważą, bo UI pokazuje poprawne salda aż do momentu, gdy wypłaty się zatrzymują.
Niewypłacalność zdarza się z nudnych powodów, dla których upadają banki (złe pożyczki, rozjazd duracji między hot/cold wallet) oraz tych specyficznych dla krypto (ramię venture pełniące też rolę market makera, skarbiec tokenów używany jako zabezpieczenie, wewnętrzne saldo "płynności" w tokenie domowym). Kaskada 2022 — Celsius, Voyager, BlockFi, FTX — była kaskadą niewypłacalności.
Sygnał, który dostajesz: wypłaty wstrzymane "w celu zarządzania odpływami", członek zarządu tweetuje, że środki są bezpieczne, a dwa do siedmiu dni później wpływa wniosek o Chapter 11. Środki nie były bezpieczne. Zostały pożyczone, zahipotekowane lub nigdy nie istniały jako identyfikowalne salda on-chain.
Co zostaje: roszczenie wycenione w tym, co wybierze sąd upadłościowy (często w USD na dzień złożenia wniosku, nie według bieżącej wartości aktywa). Wierzyciele Mt. Gox otrzymywali wypłaty od 2024 roku — jedenaście lat po upadłości. Klienci FTX uzyskali lepsze rezultaty szybciej, ale wciąż rozliczane w dolarach z dnia wniosku, tracąc kolejną hossę.
Tryb 2 — Hacki
Hot wallety (lub w niektórych przypadkach cold wallety) giełdy są opróżniane przez atakującego. Inaczej niż niewypłacalność — biznes był wypłacalny w poranek hacka; inaczej niż exit scam — operator jest ofiarą, nie sprawcą.
Historyczne przykłady: Mt. Gox (2014, ~850k BTC), Bitfinex (2016, ~120k BTC, częściowo odzyskane w 2022), Coincheck (2018, $530M w NEM), KuCoin (2020, $280M), Bitmart (2021, $200M), Ronin Bridge (2022, $625M), DMM Bitcoin (2024, $305M), WazirX (2024, $230M).
Co dzieje się dalej, zależy od tego, kto poniesie stratę. Niektóre giełdy (Binance przez SAFU, Bitfinex przez tokeny pohackowe) socjalizowały stratę i z czasem wypłaciły klientów. Inne (Mt. Gox) nie mogły. Wzór: jeśli giełda przetrwa, w końcu coś odzyskasz, potencjalnie poniżej 100%. Jeśli nie przetrwa, zobacz Tryb 1.
Częste powierzchnie ataku: kompromitacja klucza hot wallet (najczęstsze), inżynieria społeczna na wewnętrznym adminie, atak supply-chain na infrastrukturę tradingową lub podpisującą, błąd smart kontraktu na podłączonym bridge'u. Stosunek cold/hot, który giełda publikuje (gdy publikuje), to częściowy wskaźnik, nie gwarancja — patrz przypadek WazirX 2024, gdzie celem była infrastruktura podpisu multisig, a nie granica wallet.
Tryb 3 — Zamrożenie regulacyjne
Sąd, regulator lub agencja rządowa nakazuje giełdzie wstrzymać wypłaty lub zamrozić określone konta. Giełda działa normalnie — wypłacalna, niezhakowana — ale prawnie nie może zwrócić środków, dopóki nakaz nie zostanie rozwiązany.
Pojawia się w dwóch odmianach. Punktowa: konkretne konto jest zamrożone z powodu nakazu sądowego, alertu AML lub śledztwa (częsta, zwykle rozwiązywana w tygodniach do miesięcy). Powszechna: cała giełda lub konta z danego kraju są zamrożone w oczekiwaniu na akcję regulacyjną.
Przykłady odmiany powszechnej: BitMEX (2020, akcja CFTC ograniczyła użytkowników z USA), Bittrex (2023, enforcement SEC, użytkownicy z USA mieli termin wypłaty), Binance.US (2023-2024, presja regulacyjna ograniczyła funkcje i wypłaty), różne zamrożenia kont rosyjskich na europejskich giełdach po sankcjach 2022. Odmiana punktowa to stały szum w tle; użytkownicy dowiadują się, próbując wypłacić i wyzwalając nieoczekiwaną ponowną weryfikację KYC.
Co możesz zrobić podczas zamrożenia: zwykle czekać. Czasami można przenieść środki na inną platformę, czasami nie. Zamrożenie nie unieważnia twojego roszczenia, ale oznacza, że aktywo jest niepłynne przez nieokreślony czas — wystarczająco długo, by cena, którą w końcu otrzymasz, była nie do poznania.
Tryb 4 — Exit scamy
Operator znika. Inaczej niż hack, bo sama giełda jest atakującym; inaczej niż niewypłacalność, bo środki istniały, ale zostały celowo przekierowane, a nie stracone na złych zakładach.
Dwa historyczne wzorce. Bezpośredni rug: mała lub średnia giełda znika z dnia na dzień ze środkami klientów — przykłady: WEX (Rosja, 2018, ~$450M po relaunchu BTC-e), Africrypt (RPA, 2021, ~$3.6B zgłoszonych) i długi ogon mniejszych venue. Powolne wyjście: operator umiera, znika lub przestaje być dostępny, mając jedyny zestaw kluczy cold wallet — sprawa QuadrigaCX (Kanada, 2019, ~$190M CAD zablokowanych po śmierci CEO Geralda Cottena z wyłączną pieczą) to archetyp, a śledztwo wykazało, że "śmierć" była wtórna; operacja była oszustwem dużo wcześniej.
Sygnał: nieprzejrzysta własność, nieudokumentowane relacje bankowe, brak audytu, brak opublikowanego proof-of-reserves, limity wypłat nietypowe dla deklarowanej wielkości. Żaden z osobna nie dyskwalifikuje, ale kombinacja tak. Bądź szczególnie ostrożny wobec giełd, w których publicznie jedna osoba jest całą firmą.
Tryb 5 — Sankcje
Twoje konto jest w porządku. Twoja jurysdykcja — nie. Reżim sankcji — OFAC w USA, odpowiedniki w UE, Wielkiej Brytanii, ONZ — dodaje twój kraj lub osobę z tobą powiązaną do listy. Giełda jest teraz prawnie zobowiązana zablokować twój dostęp, często bez uprzedzenia.
Powtarza się to od 2022. Użytkownicy z Iranu, Rosji, Białorusi i Wenezueli doświadczali nagłych blokad na dużych giełdach wraz z każdym nowym pakietem sankcji. Zajęcie Bitzlato (styczeń 2023, oznaczenie FinCEN, konta zamrożone, infrastruktura zajęta we współpracy z władzami francuskimi) to szczególnie czysty przykład: sama giełda była podmiotem oznaczonym, a każde konto stało się natychmiast niedostępne.
Sankcje nie celują tylko w państwa. Adresy Tornado Cash zostały oznaczone przez OFAC w 2022; giełdy, które dotknęły oznaczonych adresów, przekazały konsekwencje swoim użytkownikom. Jeśli mieszkasz w jurysdykcji objętej sankcjami lub transagujesz z sankcjonowanymi adresami (nawet nieświadomie, przyjmując skażony UTXO), custodian ponosi to ryzyko i rozwiąże je, zamykając ci dostęp.
Tryb 6 — Blokada KYC / konta
Indywidualnie podlegasz wstrzymaniu KYC lub AML. Nie jesteś sankcjonowany, giełda nie jest zamrożona, ale konkretna transakcja lub profil konta wywołały weryfikację. Konto zablokowane do czasu dostarczenia dokumentów — co trwa od 48 godzin do nigdy.
Częste wyzwalacze: wpłata z adresu "wysokiego ryzyka" (giełda, której nie lubi zespół compliance, mixer, privacy pool), wzorzec wypłat pasujący do szablonu structuringu, zmiana kraju w IP, login z nowego urządzenia, zmiana nazwiska w dokumencie. Dostawca compliance flaguje cię, kolejka weryfikacji się dłuży, a ty czekasz.
Sygnał: banner w aplikacji, czasem mail z prośbą o nową fotografię dokumentu i selfie. Tarcie jest celowe — wielu użytkowników rezygnuje z częściowego KYC i traci dostęp całkowicie. Dla kont o wyższej wartości weryfikacja może wymagać dokumentacji pochodzenia środków, wyciągów bankowych i wyjaśnień transakcji sprzed lat.
Ryzyko to nie chwilowa niedogodność. To, że blokada może być otwarta w czasie, a w tym czasie twoje aktywa są niepłynne. Giełda nie robi nic złego regulacyjnie — robi to, co jest od niej wymagane. Asymetria polega na tym, że koszt ponosisz ty.
Tryb 7 — Wstrzymanie wypłat
Giełda wstrzymuje wypłaty "tymczasowo, na konserwację". Czasami to literalnie prawda — rotacja klucza hot wallet, upgrade chain, łagodzenie congestion — i wypłaty wracają w godziny. Czasami to pierwszy widoczny objaw Trybu 1.
Nie dowiesz się z góry, który to przypadek. Ten sam banner pojawia się w obu. Mt. Gox wstrzymał wypłaty, powołując się na problemy "transaction malleability" w lutym 2014, i zbankrutował trzy tygodnie później. FTX wstrzymał wypłaty w listopadzie 2022, powołując się na "wyjątkowo wysoki wolumen", i złożył Chapter 11 w ciągu dni. Celsius wstrzymał wypłaty w czerwcu 2022, powołując się na "ekstremalne warunki rynkowe", i złożył Chapter 11 miesiąc później.
To tryb, który zamienia pozostałe z ryzyka tła w natychmiastową stratę. Możesz mieć roszczenie wobec niewypłacalnej giełdy i częściowo odzyskać. Możesz stracić dostęp w blokadzie sankcyjnej i odzyskać go. Ale w trakcie wstrzymania — dni lub tygodnie, zanim wiesz, w którym jesteś trybie naprawdę — twoje aktywa są niedostępne. Wzór Mt. Gox/FTX/Celsius pokazuje, że czas między wstrzymaniem wypłat a pełnym zrozumieniem sytuacji może wynosić od 12 godzin do 11 lat.
Co to dla ciebie znaczy
Te siedem trybów to nie przypadki brzegowe. To regularne tryby działania biznesu custodial exchange. Każdy doświadczony użytkownik krypto był po złej stronie co najmniej jednego; wielu trafiło w kilka.
Zabezpieczenie dla wszystkich siedmiu jest takie samo: trzymaj klucze, które kontrolujesz, na urządzeniach, które kontrolujesz, za recovery, które rozumiesz. Nie ma sprytnego sposobu używania giełdy, który omijałby te tryby — tryby są wpisane w model. Właściwa rama jest operacyjna: używaj giełd do tego, w czym są dobre (rampy fiat, regulowany trading, głębokość), i nie trzymaj tam znaczących sald dłużej, niż musisz.
Multisig 2-z-2 SSP adresuje analogiczne tryby awarii po stronie self-custody — utratę urządzenia, kompromitację klucza, utratę dostępu w podróży — dzieląc wymóg podpisu między dwa urządzenia zamiast koncentrować w jednym. Najlepsze praktyki seed phrase pokrywają warstwę recovery pod spodem.
Następny artykuł serii, what self-custody actually requires of you, to uczciwy kontrapunkt: giełda może zawieść na siedem sposobów, a self-custody na kilka własnych. Sens nie polega na tym, że jedna jest wolna od ryzyka. Polega na tym, że to ty wybierasz, który zestaw ryzyk niesiesz.
