你以为的Swap,其实是Transfer……
原文作者:Loopy Lu
原文来源:odaily星球日报
近日,有用户在社交媒体爆料,使用硬件钱包 Ledger 内置的 Swap 服务进行兑换,资金被无故冻结。这一事件也引发了大量投资者和用户的关注与讨论。
当知名品牌集成了第三方产品,用户的信任被延伸至其他产品,遭遇了问题将由谁负责?
根据社交媒体的爆料,一投资者 K使用Changelly 时遭到冻结约 300 万美元。
今年 11 月初,K 作为Ledger 用户,出于对Ledger 的信任,选择了被Ledger 集成的 Changelly 进行 Swap 操作。
K 试图在 Changelly 上将约 293 万枚 USDT 转换为 USDC。在其操作完成后,尽管Changelly平台显示“交易播送成功”,但他的 USDC 却并未到账。
而在联系客服之后,平台客服要求其进行 KYC 操作。在此之前,Ledger Live App 并未对此进行过相关提示。
K 配合平台进行了相关流程,提交了包括银行账单、商业合约等一系列文件。但在繁琐且复杂流程之后,Changelly 即使已经收到 K 的完整答复和资料,却并没有继续推进解决该事件。K 表示,Changelly 在同一问题上反复纠缠,又重新要求解释相关地址的几笔交易。
Changelly 不断对用户 K 提出质疑,并不推进兑换的处理,自11 月 11 日至今,K 所 Swap 的约 300 万美元始终被扣押。至今仍未兑付。K 的诉求很简单,就是把 300 万资金退回来。目前 K 已准备在香港报警。
在评分网站 trustpilot 上,尽管Changelly 获得了 4.6/5 的评价,但仍然收获了约 15% 的一星评价。浏览其差评,我们发现其差评均是相同的原因,即“ SCAM (诈骗)”。有用户直言,“这是一个诈骗网站。”我们发现,像用户 K 一样,在进行大额 Swap 之后被要求进行 KYC 的用户远不止 K 一人。有多名用户均有相同遭遇,随后他们的资金便被“卡”在 Changelly 之中,平台既不释放其资金,也不指责用户操作违规,仅是不断要求提供资料扯皮、拖延时间,最终形成用户资金被扣押的事实。
而这些用户,大多均通过 Ledger Live App 进行操作。一个以安全为主打的硬件钱包 App,其用户却频频遭遇资产安全事件,这一结果不免令人唏嘘。
查阅 Ledger 官网可知,该产品集成了多家 Swap 服务商。包括 Changelly、 Paraswap 和 1inch、 Wyre 。并不只是 Changelly 会“卡”用户资金,Wyre 同样有过同类事件发生。一位化名“土豆”的投资者也在社交媒体爆料了其个人经历。
11 月上旬,土豆试图在 Ledger Live App 进行一笔价值约 148 万美元的稳定币 Swap。
在两笔交易小额交易测试中,Swap 并未出现问题,且正常到账。而在进行 148 万美元的大额交易之后,土豆付出了它的 USDT,却并未收到 USDC。
这笔资金最终转到 一个以 “0x912f” 开头的个人钱包地址。随后,土豆与 Wyre 客服取得联系,并要求退还资金。但在 Ledger Live 的操作流程中,它并未得到自己在 Wyre 进行交易的 id,Wyre 以无法确认 id 拒绝了他的要求。
幸运的是,在社交媒体进行曝光之后,Ledger 的客服进行了介入。11 月 23 日,土豆拿回了自己的 146 万美元,但仍有约 2.19 万美元的缺口未获得解决。
在这两企案例中,无论是 Changelly 还是 Wyre,其 Swap 都是一个颇为“奇葩”的产品形态。
以 Changelly 为例,实际体验之后 Odaily星球日报发现,其 Swap 服务与常见的 DEX 兑换有所不同。
在Changelly 中,兑换不经由智能合约完成,流动性也无需由 LP 币对提供,更不存在 AMM 机制。其兑换流程是极为原始的“转账——收款”的模式。即用户向 Changelly 执行一笔转账,Changelly 再为用户转回其标的代币。
而在 Wyre 的 Swap 服务中,流程与 Changelly 无异。毫无疑问,这是一种由中心化机构提供的兑换服务,与其说是 Swap,更不如说这是一种 CEX 。
从前文所述的“土豆”的转账截图中我们也可看到,他所执行的 148 万 USDT 操作是一笔标准的“转账”,而非链上交互。
在这种情况下,用户能否收到兑换之后的“回款”,没有任何第三方有能力提供担保或背书。可以说,“回款”的成功与否,某种意义上取决于承兑方的“良心”。这是一个完全中心化的 Swap 流程,用户资产安全系于机构的可信程度。
但当用户信任 Ledger 之后,这一切又有所不同了。
实际体验Ledger Live 之后,发现其“兑换”服务在 App 内高度集成,无论是功能还是 UI 都与 Ledger 官方服务浑然一起。而更为关键的,其“兑换”页面并未标明服务来源,用户无法得知其兑换服务由何方提供。
若用户不加以甄别,或将被 UI 误导,误认为这一服务由 Ledger 官方提供。
纵览钱包 App ,“闪兑”一类的功能已经成为了钱包的标配。所谓闪兑,即和钱包深度整合,在产品中拥有更明显的独立入口、更简化的操作流程,更便捷的兑换操作。此类服务往往并不由钱包直接提供,而是通过集成第三方供应商完成。
而当“兑换”和“钱包”深度整合,钱包也在一定程度上为兑换服务提供了背书,用户对其天然更具信任,也一定程度降低了防范意识。此前, TokenPocket 闪兑服务商被盗,诸多使用过该服务的用户均被盗取了资产,用户损失超 2300 万美元。
回到本次事件,Ledger 以安全作为品牌的主打优势。毫无疑问,此类事件并未对其钱包功能的安全性造成冲击,但这是否代表 Ledger 在此类事件中完全免责?
在 DeFi 早已成熟,链上交易异常发达的今日。通过智能合约进行交易已是一件稀松平常的事情,诸如 Changelly、Wyre 此类“中心化 Swap”,其异类一般的产品形态,或许并不会在公开的市场竞争中胜出。若无Ledger 的集成与背书,用户或许并不会将此类平台作为交易的首选。
“黑暗森林”是广为流传的对于链上秩序的叙述了,也提醒着用户这个世界的危险性和高风险。但诸如此类事件的一再发生,真的可以全部归责于用户的安全意识吗?承担了“引流”职能的 Ledger,是否同样应肩负起安全义务呢?
以 FTX 事件为例。本月中旬,三起 FTX 相关案件被合并。有用户针对 FTX 的一系列有偿明星代言人,包括 NFL 运动员 Tom Brady、喜剧演员 Larry David、网球运动员 Naomi Osaka 和 NBA 金州勇士队等提起集体诉讼,相关诉讼已被合并并被指派新法官。或是出于对这些明星的信任,一部分人成为了 FTX 的用户。而当 FTX 出现了事故,这些“大使”、“代言人”也不得不面临着为 FTX“引流”所带来的司法纠纷。
去中心化世界机会与风险并存。还记得加密技术最初的愿景吗?“保护你的资产,没有人可以夺走你钱包里的加密货币。”而一个良性秩序的建立,需要的不是复杂的代码、晦涩的概念,确保每一个普通用户都能安全的使用加密技术,仍然需要行业里每一个参与者共同的努力。