第 15 章:风险管理与事件响应
交易所是高价值攻击目标,也处在监管与市场的多重压力下。出事不是”会不会”,而是”什么时候”。本章帮你提前把预案做好。
15.1 主要风险图谱
flowchart TD
Root[交易所风险] --> Sec[安全风险
被盗/私钥泄露/内部作案] Root --> Ops[运营风险
宕机/撮合故障/数据丢失] Root --> Liq[流动性/市场风险
挤兑/库存巨亏/脱锚] Root --> Reg[合规/监管风险
处罚/撤牌/调查] Root --> Bank[对手方风险
银行冻结/托管商/做市商违约] Root --> Legal[法律/声誉风险
诉讼/负面舆情]
被盗/私钥泄露/内部作案] Root --> Ops[运营风险
宕机/撮合故障/数据丢失] Root --> Liq[流动性/市场风险
挤兑/库存巨亏/脱锚] Root --> Reg[合规/监管风险
处罚/撤牌/调查] Root --> Bank[对手方风险
银行冻结/托管商/做市商违约] Root --> Legal[法律/声誉风险
诉讼/负面舆情]
15.2 风险登记册(Risk Register)
为每类风险建立登记册,至少包含:风险描述 → 可能性 → 影响 → 现有控制 → 残余风险 → 责任人。
| 风险 | 关键缓解措施 |
|---|---|
| 热钱包被盗 | 冷热分离、热钱包限额、多签/MPC、实时监控、保险 |
| 私钥泄露/内鬼 | 分权保管、最小权限、操作审计、背景调查 |
| 撮合/系统宕机 | 高可用架构、BCP/DR 演练、明确 RTO/RPO |
| 用户挤兑 | 充足储备、储备证明、流动性管理、提现风控 |
| 银行账户被冻结 | 多银行关系、合规可解释、客户资金隔离 |
| 做市商/托管商违约 | 分散对手方、合同保障、敞口限额 |
| 监管处罚/调查 | 强合规、主动沟通、完整留痕 |
15.3 事件响应预案(IRP)
针对被盗、宕机、数据泄露等,预先定义响应流程,别等出事才想。
flowchart LR
D[侦测
Detect] --> C[遏制
Contain] C --> E[根除
Eradicate] E --> R[恢复
Recover] R --> P[复盘
Post-mortem] C -.并行.-> Comm[通报: 监管/用户/相关方]
Detect] --> C[遏制
Contain] C --> E[根除
Eradicate] E --> R[恢复
Recover] R --> P[复盘
Post-mortem] C -.并行.-> Comm[通报: 监管/用户/相关方]
| 阶段 | 关键动作 |
|---|---|
| 侦测 | 监控告警、用户报告、异常交易识别 |
| 遏制 | 暂停受影响功能/提现、隔离系统、冻结可疑账户 |
| 根除 | 定位根因、封堵漏洞、轮换密钥 |
| 恢复 | 验证安全后逐步恢复服务、核对资产 |
| 通报 | 按 SC 要求及时上报;依法/依约通知受影响用户;必要时报警 |
| 复盘 | 无责复盘(blameless),形成改进项并落实 |
🚨 关键:重大事件的监管上报有时限要求。预案里要写明”谁、在多长时间内、用什么渠道”上报 SC / 相关部门。
15.4 危机沟通
- 预先准备对内、对用户、对监管、对媒体的沟通模板。
- 指定唯一对外发言口径,避免信息混乱。
- 透明但审慎:不隐瞒、不夸大、不泄露可被利用的技术细节。
- 事后公布复盘与整改,重建信任。
15.5 业务连续性与最坏情况
- BCP/DR:定期演练故障切换与数据恢复(呼应 第 6 章)。
- 资金缓冲:保留足够运营现金,挺过收入骤降期(呼应 第 9 章)。
- 有序退出预案:万一要停业,如何保护客户资产、有序返还、通知监管——这也是 SC 关注点,最好提前设计。
本章小结 / 行动项
- 建立覆盖六类风险的风险登记册,定期更新
- 编写事件响应预案(含监管上报时限与渠道)
- 准备危机沟通模板与统一发言口径
- 定期演练 BCP/DR 与事件响应(桌面推演 + 实战)
- 设计有序退出/客户资产返还预案
- 维持网络/犯罪保险并定期复核保额
➡️ 下一章:常见问题与术语表