Các sàn không hỏng theo một cách. Chúng hỏng theo bảy cách. Hầu hết người dùng chỉ biết đến chế độ hỏng tiếp theo khi nó giáng xuống họ — khách hàng FTX rút được vào thứ Hai nhưng không rút được vào thứ Tư, chủ nợ Mt. Gox vẫn chờ mười một năm sau, người dùng ở một quốc gia bị trừng phạt đăng nhập và thấy số dư bị khóa.
Đây là bài thứ ba trong loạt Self-Custody Fundamentals. Bài đầu, not your keys, not your coins, đưa ra luận điểm. Bài thứ hai, custodial vs. non-custodial wallets, vẽ ra ranh giới. Bài này liệt kê các chế độ hỏng thực tế — mỗi cái trông thế nào, đã xảy ra khi nào, và bạn có thể làm gì trước khi nó xảy ra với mình.
TL;DR
- Một sàn là một custodian. Một custodian có thể hỏng theo ít nhất bảy cách khác nhau, và các hỏng hóc thường chồng lên nhau.
- Bảy chế độ: mất khả năng thanh toán, bị hack, đóng băng pháp lý, exit scam, trừng phạt, khóa KYC/tài khoản và dừng rút tiền.
- Mỗi chế độ đều có tiền lệ lịch sử — Mt. Gox, FTX, Celsius, Bitfinex, QuadrigaCX, Bitzlato, BitMart và nhiều cái khác.
- Bảo hiểm, quy định và "kiểm toán" không loại bỏ chế độ nào trong số đó. Chúng thay đổi ai quyết định thứ tự thanh toán trong phá sản, không phải việc phá sản có xảy ra hay không.
- Cách phòng hộ cho mỗi chế độ là như nhau — giữ chìa khoá của bạn, trên các thiết bị không phụ thuộc vào việc một venue duy nhất còn khả năng thanh toán, online và hợp pháp.
Chế độ 1 — Mất khả năng thanh toán
Sàn hết tiền nợ khách hàng. Đây là cách hỏng kinh điển và là cái mà người dùng bán lẻ đánh giá thấp nhất, vì UI sàn vẫn hiển thị số dư đúng cho đến đúng lúc rút tiền dừng lại.
Mất khả năng thanh toán xảy ra vì những lý do nhàm chán làm ngân hàng đổ vỡ (cho vay tồi, sai khớp duration giữa hot/cold wallet) và vì những lý do đặc thù của crypto (một nhánh venture kiêm market maker, một kho token dùng làm tài sản thế chấp, một số dư nội bộ "thanh khoản" bằng token nhà). Cascade 2022 — Celsius, Voyager, BlockFi, FTX — là một cascade mất khả năng thanh toán.
Tín hiệu bạn nhận được: rút tiền bị tạm dừng "để quản lý dòng ra", một giám đốc tweet rằng tiền vẫn an toàn, rồi đơn Chapter 11 nộp hai đến bảy ngày sau. Tiền đã không an toàn. Đã bị cho vay, thế chấp, hoặc chưa bao giờ tồn tại dưới dạng số dư có thể nhận diện on-chain.
Cái bạn còn lại: một yêu cầu bồi thường, định giá bằng cái mà toà phá sản chọn (thường là USD theo ngày nộp đơn, không phải giá hiện tại của tài sản). Chủ nợ Mt. Gox bắt đầu nhận phân phối từ 2024 — mười một năm sau phá sản. Khách hàng FTX có kết quả tốt hơn nhanh hơn, nhưng vẫn theo giá USD ngày nộp đơn, bỏ lỡ thị trường tăng giá sau đó.
Chế độ 2 — Bị hack
Hot wallet (hoặc trong một số trường hợp cold wallet) của sàn bị một kẻ tấn công rút sạch. Khác mất khả năng thanh toán ở chỗ doanh nghiệp vẫn có khả năng thanh toán vào sáng ngày bị hack; khác exit scam ở chỗ vận hành viên là nạn nhân, không phải thủ phạm.
Ví dụ lịch sử: Mt. Gox (2014, ~850k BTC), Bitfinex (2016, ~120k BTC, một phần thu hồi năm 2022), Coincheck (2018, $530M NEM), KuCoin (2020, $280M), Bitmart (2021, $200M), Ronin Bridge (2022, $625M), DMM Bitcoin (2024, $305M), WazirX (2024, $230M).
Điều xảy ra tiếp theo phụ thuộc vào ai gánh thiệt hại. Một số sàn (Binance qua SAFU, Bitfinex qua token hậu hack) xã hội hoá tổn thất và đền bù khách hàng theo thời gian. Một số khác (Mt. Gox) không thể. Mẫu hình: nếu sàn sống sót, cuối cùng bạn nhận lại được phần nào đó, có thể dưới 100%. Nếu sàn không sống sót, xem Chế độ 1.
Bề mặt tấn công phổ biến: lộ khoá hot wallet (phổ biến nhất), social engineering nhằm vào admin nội bộ, tấn công supply-chain vào hạ tầng trading hoặc ký, lỗi smart contract trên một bridge kết nối. Tỉ lệ cold/hot mà sàn công bố (khi họ công bố) là chỉ báo một phần, không phải bảo đảm — xem vụ WazirX 2024 nơi mục tiêu là hạ tầng ký multisig, không phải ranh giới wallet.
Chế độ 3 — Đóng băng pháp lý
Một toà án, cơ quan quản lý hoặc cơ quan nhà nước ra lệnh sàn dừng rút tiền hoặc đóng băng các tài khoản cụ thể. Sàn vẫn vận hành bình thường — có khả năng thanh toán, không bị hack — nhưng pháp lý không thể trả tiền cho đến khi lệnh được giải quyết.
Xuất hiện ở hai kiểu. Hướng đối tượng: một tài khoản cụ thể bị đóng băng do lệnh toà, cảnh báo AML hoặc điều tra (phổ biến, thường giải quyết trong vài tuần đến vài tháng). Trên diện rộng: toàn bộ sàn hoặc tài khoản của cả một quốc gia bị đóng băng chờ hành động pháp lý.
Ví dụ kiểu diện rộng: BitMEX (2020, hành động CFTC hạn chế người dùng Mỹ), Bittrex (2023, enforcement SEC, người dùng Mỹ có hạn chót rút tiền), Binance.US (2023-2024, áp lực pháp lý hạn chế tính năng và rút tiền), các đóng băng đa dạng với người dùng Nga trên sàn châu Âu sau các lệnh trừng phạt 2022. Kiểu hướng đối tượng là tiếng ồn nền liên tục; người dùng thường biết khi cố gắng rút và bị kích hoạt một lần xác minh KYC chưa biết trước.
Bạn có thể làm gì trong khi đóng băng: thường là chờ. Đôi khi có thể chuyển sang nền tảng khác, đôi khi không. Đóng băng không xoá bỏ yêu cầu bồi thường nhưng có nghĩa tài sản kém thanh khoản trong thời gian không xác định — đủ dài để giá bạn nhận được cuối cùng không còn nhận ra được.
Chế độ 4 — Exit scam
Vận hành viên ôm tiền bỏ chạy. Khác hack ở chỗ chính sàn là kẻ tấn công; khác mất khả năng thanh toán ở chỗ tiền vẫn tồn tại nhưng bị chuyển đi có chủ đích, không phải mất do cược tồi.
Hai mẫu hình lịch sử. Rug thẳng: sàn nhỏ hoặc trung bình tắt sóng qua một đêm với tiền khách hàng biến mất — ví dụ: WEX (Nga, 2018, ~$450M sau khi tái khởi động BTC-e), Africrypt (Nam Phi, 2021, ~$3.6B được tuyên bố) và một danh sách dài venue nhỏ hơn. Thoát chậm: vận hành viên chết, biến mất hoặc không liên hệ được trong khi nắm bộ khoá cold wallet duy nhất — vụ QuadrigaCX (Canada, 2019, ~$190M CAD khoá khi CEO Gerald Cotten chết với quyền giữ khoá duy nhất) là nguyên mẫu, và điều tra sau đó kết luận rằng "cái chết" là thứ yếu; vận hành đã là gian lận từ lâu trước đó.
Tín hiệu: sở hữu không minh bạch, quan hệ ngân hàng không có hồ sơ, không kiểm toán, không có proof-of-reserves công bố, giới hạn rút bất thường so với quy mô tuyên bố. Không cái nào riêng lẻ loại bỏ, nhưng kết hợp lại thì có. Hãy cẩn trọng đặc biệt với các sàn nơi công khai một người là cả công ty.
Chế độ 5 — Trừng phạt
Tài khoản bạn ổn. Khu vực pháp lý của bạn thì không. Một chế độ trừng phạt — OFAC ở Mỹ, tương đương ở EU, Anh, LHQ — thêm quốc gia bạn hoặc một người liên quan vào danh sách chỉ định. Sàn bây giờ bị buộc phải chặn quyền truy cập của bạn, thường ngay lập tức và không thông báo trước.
Việc này đã lặp lại từ 2022 đến nay. Người dùng Iran, Nga, Belarus và Venezuela từng đối mặt với chặn truy cập đột ngột trên các sàn lớn khi các gói trừng phạt mới được áp. Vụ thu giữ Bitzlato (tháng 1/2023, FinCEN chỉ định, tài khoản đóng băng, hạ tầng bị thu giữ phối hợp với cơ quan Pháp) là ví dụ đặc biệt rõ: chính sàn là thực thể bị chỉ định và mọi tài khoản trên đó tức khắc không truy cập được.
Trừng phạt không chỉ nhắm vào các quốc gia. Địa chỉ Tornado Cash bị OFAC chỉ định năm 2022; các sàn dính tới địa chỉ bị đánh dấu chuyển hậu quả sang người dùng. Nếu bạn sống ở khu vực bị trừng phạt hoặc giao dịch với địa chỉ bị trừng phạt (kể cả vô tình, khi nhận một UTXO bị nhiễm), custodian gánh rủi ro đó và giải quyết bằng cách đóng quyền truy cập của bạn.
Chế độ 6 — Khoá KYC / tài khoản
Bạn cá nhân chịu một lệnh giữ KYC hoặc AML. Bạn không bị trừng phạt, sàn không bị đóng băng, nhưng một giao dịch cụ thể hoặc hồ sơ tài khoản đã kích hoạt một lần xem xét. Tài khoản của bạn bị khoá chờ gửi tài liệu, mất từ 48 giờ đến không bao giờ.
Yếu tố kích hoạt phổ biến: nạp tiền từ một địa chỉ "rủi ro cao" (một sàn mà đội compliance không thích, một mixer, một privacy pool), một mẫu rút tiền khớp với mẫu structuring, đổi quốc gia trong IP, đăng nhập từ thiết bị mới, đổi tên trên giấy tờ. Nhà cung cấp compliance đánh dấu bạn, hàng đợi xem xét tồn đọng, và bạn ngồi chờ.
Tín hiệu: banner trong app, đôi khi email yêu cầu ảnh mới của giấy tờ và selfie. Ma sát là cố ý — nhiều người dùng bỏ dở KYC và mất truy cập hoàn toàn. Với tài khoản giá trị cao hơn, lần xem xét có thể yêu cầu chứng từ nguồn gốc tiền, sao kê ngân hàng và giải trình các giao dịch cụ thể từ nhiều năm trước.
Rủi ro không phải sự bất tiện tạm thời. Đó là khoá có thể vô thời hạn, và trong thời gian đó tài sản của bạn không có tính thanh khoản. Sàn không làm gì sai về quy định — họ làm điều được yêu cầu. Bất đối xứng: chi phí bạn gánh.
Chế độ 7 — Dừng rút tiền
Sàn tạm dừng rút tiền "tạm thời, để bảo trì". Đôi khi điều đó đúng theo nghĩa đen — xoay khoá hot wallet, nâng cấp chain, giảm tải tắc nghẽn — và rút tiền trở lại sau vài giờ. Đôi khi đó là dấu hiệu hữu hình đầu tiên của Chế độ 1.
Bạn không biết trước cái nào là cái nào. Cùng một banner xuất hiện trong cả hai trường hợp. Mt. Gox dừng rút tháng 2/2014 với lý do "transaction malleability" và phá sản ba tuần sau. FTX dừng rút tháng 11/2022 viện dẫn "khối lượng cực cao" và nộp Chapter 11 trong vài ngày. Celsius dừng rút tháng 6/2022 viện dẫn "điều kiện thị trường cực đoan" và nộp Chapter 11 một tháng sau.
Đây là chế độ biến các chế độ khác từ rủi ro nền thành mất mát tức thì. Bạn có thể có yêu cầu bồi thường với một sàn mất khả năng thanh toán và thu hồi một phần. Bạn có thể mất truy cập trong một đợt phong toả trừng phạt và lấy lại sau. Nhưng trong thời gian dừng — những ngày hoặc tuần trước khi bạn biết thực sự đang ở chế độ nào — tài sản của bạn không thể chạm tới. Mẫu hình Mt. Gox/FTX/Celsius cho thấy thời gian giữa lúc dừng rút và lúc hiểu rõ tình huống có thể từ 12 giờ đến 11 năm.
Điều này có ý nghĩa gì với bạn
Bảy chế độ này không phải tình huống biên. Đó là các chế độ vận hành thường thấy của mô hình kinh doanh sàn custodial. Mọi người dùng crypto lâu năm đều đã ở bên sai của ít nhất một chế độ; nhiều người trúng vài chế độ.
Phòng hộ cho cả bảy là như nhau: giữ chìa khoá bạn kiểm soát, trên thiết bị bạn kiểm soát, sau một cơ chế recovery bạn hiểu. Không có cách thông minh nào để dùng sàn mà tránh được các chế độ này — chúng vốn có trong mô hình. Khung nhìn đúng là khung vận hành: dùng sàn cho những việc nó làm tốt (cổng fiat, trading được quản lý, độ sâu) và đừng giữ số dư đáng kể ở đó lâu hơn cần thiết.
Multisig 2-of-2 của SSP xử lý các chế độ hỏng tương đương ở phía self-custody — mất một thiết bị, lộ khoá, mất truy cập khi đi du lịch — bằng cách chia yêu cầu ký giữa hai thiết bị thay vì dồn vào một. Thực hành tốt nhất với seed phrase phủ tầng recovery bên dưới.
Bài tiếp theo trong loạt, what self-custody actually requires of you, là phần đối ứng trung thực của bài này: một sàn có thể hỏng theo bảy cách, và self-custody có thể hỏng theo vài cách riêng. Điểm không phải là một bên không có rủi ro. Điểm là bạn được chọn nhóm rủi ro nào bạn đang gánh.
