Биржи отказывают не одним способом. Они отказывают семью. Большинство пользователей узнают о следующем режиме отказа только тогда, когда он бьёт по ним — клиент FTX, который мог вывести в понедельник, но не в среду; кредитор Mt. Gox, всё ещё ожидающий одиннадцать лет спустя; пользователь в подсанкционной стране, который вошёл и увидел заблокированный баланс.
Это третья статья серии Self-Custody Fundamentals. Первая, not your keys, not your coins, изложила аргумент. Вторая, custodial vs. non-custodial wallets, провела черту. Эта инвентаризирует реальные режимы отказа — как выглядит каждый, когда он случался и что можно сделать до того, как он случится с тобой.
TL;DR
- Биржа — это custodian. Custodian может отказать как минимум семью разными способами, и отказы обычно накладываются.
- Семь режимов: неплатёжеспособность, взломы, регуляторная заморозка, exit scam, санкции, блокировка KYC/аккаунта и остановка вывода.
- У каждого режима есть исторический прецедент — Mt. Gox, FTX, Celsius, Bitfinex, QuadrigaCX, Bitzlato, BitMart и многие другие.
- Страхование, регулирование и "аудиты" не устраняют ни одного из этих режимов. Они меняют, кто решает порядок выплат при банкротстве, а не то, произойдёт ли банкротство.
- Хедж от каждого режима один и тот же — держи ключи сам, на устройствах, которые не зависят от того, что одна площадка остаётся платёжеспособной, онлайн и в правовом порядке.
Режим 1 — Неплатёжеспособность
У биржи кончаются деньги, которые она должна клиентам. Это канонический отказ и тот, который ритейл-пользователи недооценивают больше всего, потому что UI продолжает показывать правильные балансы вплоть до момента, когда выводы останавливаются.
Неплатёжеспособность случается по скучным причинам, по которым падают банки (плохие кредиты, рассогласование дюрации между hot/cold wallet), и по специфическим для крипты (венчурное подразделение, одновременно делавшее маркетмейкинг; treasury токенов, использованный как залог; внутренний баланс "ликвидности" в домашнем токене). Каскад 2022 — Celsius, Voyager, BlockFi, FTX — был каскадом неплатёжеспособностей.
Сигнал, который ты получаешь: выводы приостанавливаются "для управления оттоками", руководитель твитит, что средства в безопасности, потом подача Chapter 11 через два-семь дней. Средства не были в безопасности. Их одолжили, заложили или они никогда не существовали как идентифицируемые балансы on-chain.
Что остаётся: требование, выраженное в том, что выберет суд по банкротству (часто USD на дату подачи заявления, а не текущая стоимость актива). Кредиторы Mt. Gox начали получать выплаты с 2024 — через одиннадцать лет после банкротства. Клиенты FTX получили лучшие результаты быстрее, но всё равно расчёт в долларах на дату подачи, без последующего бычьего рынка.
Режим 2 — Взломы
Hot wallet (или иногда cold wallet) биржи опустошает атакующий. В отличие от неплатёжеспособности — бизнес был платёжеспособен утром в день взлома; в отличие от exit scam — оператор является жертвой, а не виновником.
Исторические примеры: Mt. Gox (2014, ~850k BTC), Bitfinex (2016, ~120k BTC, частично возвращены в 2022), Coincheck (2018, $530M в NEM), KuCoin (2020, $280M), Bitmart (2021, $200M), Ronin Bridge (2022, $625M), DMM Bitcoin (2024, $305M), WazirX (2024, $230M).
Что будет дальше, зависит от того, кто несёт убыток. Некоторые биржи (Binance через SAFU, Bitfinex через токены пост-взлома) социализировали потери и со временем компенсировали клиентов. Другие (Mt. Gox) не смогли. Закономерность: если биржа выживает, в итоге что-то возвращается, потенциально меньше 100%. Если не выживает — см. Режим 1.
Распространённые поверхности атаки: компрометация ключа hot wallet (самое частое), социальная инженерия против внутреннего админа, supply-chain-атака на торговую или подписывающую инфраструктуру, баг smart-контракта на связанном bridge. Соотношение cold/hot, которое биржа публикует (когда публикует) — частичный индикатор, не гарантия: см. кейс WazirX 2024, где целью была инфраструктура multisig-подписания, а не граница кошелька.
Режим 3 — Регуляторная заморозка
Суд, регулятор или государственное ведомство предписывает бирже остановить выводы или заморозить определённые счета. Биржа работает нормально — платёжеспособна, не взломана — но юридически не может вернуть средства до решения по предписанию.
Бывает в двух вариантах. Целевой: конкретный аккаунт замораживается по решению суда, AML-флагу или расследованию (часто, обычно решается за недели-месяцы). Массовый: вся биржа или аккаунты определённой страны замораживаются в ожидании регуляторного действия.
Примеры массового варианта: BitMEX (2020, действие CFTC ограничило пользователей США), Bittrex (2023, enforcement SEC, у пользователей США был дедлайн вывода), Binance.US (2023-2024, регуляторное давление ограничило функции и выводы), различные заморозки российских пользователей на европейских биржах после санкций 2022. Целевой вариант — постоянный фоновый шум; пользователи узнают, когда пробуют вывести и срабатывает ранее неизвестная KYC-переверификация.
Что можно делать во время заморозки: обычно ждать. Иногда удаётся перевести на другую платформу, иногда нет. Заморозка не аннулирует твоё требование, но означает, что актив неликвиден в течение неопределённого периода — достаточно долгого, чтобы цена, по которой ты в итоге получишь, была неузнаваема.
Режим 4 — Exit scam
Оператор сбегает. Отличается от взлома тем, что сама биржа является атакующим; отличается от неплатёжеспособности тем, что средства существовали, но были намеренно выведены, а не потеряны на плохих ставках.
Два исторических шаблона. Прямой rug: маленькая или средняя биржа уходит в офлайн за ночь со средствами клиентов — примеры: WEX (Россия, 2018, ~$450M после перезапуска BTC-e), Africrypt (ЮАР, 2021, ~$3.6B заявленных) и длинный хвост более мелких площадок. Медленный выход: оператор умирает, исчезает или становится недоступен, удерживая единственный набор ключей cold wallet — кейс QuadrigaCX (Канада, 2019, ~$190M CAD заблокировано, когда CEO Gerald Cotten умер с единоличным хранением) — это архетип, и последующее расследование заключило, что "смерть" была вторичной: операция была мошенничеством задолго до этого.
Сигнал: непрозрачное владение, недокументированные банковские отношения, отсутствие аудита, отсутствие опубликованного proof-of-reserves, лимиты вывода, нетипичные для заявленного размера. По отдельности ни один из них не дисквалифицирует, но комбинация — да. Будь особенно осторожен с биржами, где публично один человек — это вся компания.
Режим 5 — Санкции
С твоим аккаунтом всё в порядке. С твоей юрисдикцией — нет. Санкционный режим — OFAC в США, аналоги в ЕС, Великобритании, ООН — добавляет твою страну или связанного с тобой человека в список designated. Биржа теперь юридически обязана заблокировать твой доступ, часто без предварительного уведомления.
Это повторялось с 2022 года. Иранские, российские, белорусские и венесуэльские пользователи сталкивались с внезапными блокировками на крупных биржах по мере введения новых санкционных пакетов. Изъятие Bitzlato (январь 2023, designation FinCEN, аккаунты заморожены, инфраструктура изъята в координации с французскими властями) — особенно чистый пример: сама биржа была designated entity, и каждый аккаунт мгновенно стал недоступен.
Санкции бьют не только по государствам. Адреса Tornado Cash были designated OFAC в 2022; биржи, контактировавшие с помеченными адресами, переложили последствия на пользователей. Если ты живёшь в подсанкционной юрисдикции или транзачишь с подсанкционными адресами (даже неосознанно, получая загрязнённый UTXO), custodian несёт этот риск и решит его, закрыв твой доступ.
Режим 6 — Блокировка KYC / аккаунта
Ты индивидуально подпадаешь под удержание KYC или AML. Ты не под санкциями, биржа не заморожена, но конкретная транзакция или профиль аккаунта вызвал проверку. Твой аккаунт заблокирован до подачи документов, что занимает от 48 часов до никогда.
Частые триггеры: депозит с "высокорискового" адреса (биржа, которую compliance-команда не любит, mixer, privacy pool), паттерн выводов, совпадающий с шаблоном structuring, смена страны на IP, логин с нового устройства, смена имени в документе. Compliance-вендор тебя помечает, очередь проверок забита, и ты сидишь.
Сигнал: баннер в приложении, иногда email с просьбой прислать свежую фотографию документа и selfie. Трение — это и есть точка: многие пользователи бросают частичную KYC и теряют доступ полностью. Для аккаунтов с большей стоимостью проверка может потребовать документации источника средств, выписок и пояснений по конкретным транзакциям многолетней давности.
Риск — не временное неудобство. Риск — что блокировка может быть без срока, и в это время твои активы неликвидны. Биржа не делает ничего неправильного с точки зрения регулирования — она делает то, что от неё требуется. Асимметрия в том, что издержки несёшь ты.
Режим 7 — Остановка выводов
Биржа приостанавливает выводы "временно, на обслуживание". Иногда это буквально так — ротация ключа hot wallet, обновление chain, митигация congestion — и выводы возобновляются через часы. Иногда это первый видимый симптом Режима 1.
Заранее ты не знаешь, какой случай. Один и тот же баннер появляется в обоих. Mt. Gox остановила выводы в феврале 2014, ссылаясь на проблемы "transaction malleability", и обанкротилась три недели спустя. FTX остановила выводы в ноябре 2022, ссылаясь на "чрезвычайно высокий объём", и подала на Chapter 11 в течение дней. Celsius остановила выводы в июне 2022, ссылаясь на "экстремальные рыночные условия", и подала на Chapter 11 через месяц.
Это режим, превращающий остальные из фонового риска в немедленный убыток. Можно иметь требование к неплатёжеспособной бирже и частично восстановить. Можно потерять доступ из-за санкционной блокировки и получить его обратно. Но во время остановки — дни или недели до того, как ты узнаешь, в каком ты режиме на самом деле — твои активы недостижимы. Шаблон Mt. Gox/FTX/Celsius показывает, что время между остановкой выводов и полным пониманием ситуации может составлять от 12 часов до 11 лет.
Что это значит для тебя
Эти семь режимов — не пограничные случаи. Это обычные режимы работы бизнеса custodial-биржи. Каждый долгосрочный крипто-пользователь оказывался на неверной стороне как минимум одного; многие — нескольких.
Хедж от всех семи один и тот же: держи ключи, которые контролируешь, на устройствах, которые контролируешь, за recovery, которое понимаешь. Нет хитрого способа использовать биржу, обходящего эти режимы — режимы присущи модели. Правильный фрейм — операционный: используй биржи для того, в чём они хороши (fiat-on-ramp, регулируемый трейдинг, глубина), и не держи там значимые балансы дольше, чем нужно.
2-of-2 multisig от SSP адресует эквивалентные режимы отказа на стороне self-custody — потеря устройства, компрометация ключа, потеря доступа в поездке — разделяя требование подписи между двумя устройствами вместо концентрации в одном. Лучшие практики seed phrase покрывают уровень recovery ниже.
Следующая статья серии, what self-custody actually requires of you, — честный контрапункт этой: биржа может отказать семью способами, а self-custody — несколькими своими. Смысл не в том, что одно из них без риска. Смысл в том, что ты выбираешь, какой набор рисков несёшь.
