Từ sự cố FTX đến sự cố Bybit, bằng chứng về dự trữ có thể khiến các nhà đầu tư thất vọng như thế nào

Tác giả: Steven Ehrlich Nguồn: unchainedcrypto Dịch: Shan Ouba, Golden Finance

Một bài học rút ra từ sự sụp đổ của FTX là lời nói của các ông trùm tiền điện tử không bao giờ đáng tin cậy. Vì vậy, khi các giám đốc điều hành của Bybit phát động một chiến dịch quan hệ công chúng phối hợp để đảm bảo với thế giới bên ngoài rằng mọi thứ đều ổn và họ có đủ dự trữ tài chính để trang trải các khoản lỗ, tôi quyết định điều tra. Bằng chứng về dự trữ được sàn giao dịch công bố vào ngày 20 tháng 2 (một ngày trước vụ tấn công) đã giúp ích cho việc phân tích của tôi. Nó cho thấy thặng dư – nghĩa là tổng số tiền vượt quá tiền gửi của khách hàng là 1,15 tỷ đô la. Vì vậy, nếu 1,5 tỷ đô la Ethereum bị đánh cắp, công ty có thể bị lỗ 385 triệu đô la trong bảng cân đối kế toán.

Bybit phản hồi và đảm bảo an toàn cho tiền của khách hàng như thế nào

Khoảng trống Ethereum đã được lấp đầy thông qua một loạt các khoản vay, nhưng vì các điều khoản của các khoản vay không được biết rõ nên tình hình tài chính chung của Bybit vẫn chưa rõ ràng. Có những bài học quan trọng có thể rút ra từ sự cố này để ngành công nghiệp trở nên minh bạch hơn trong tương lai. Sau khi tin tặc Triều Tiên đánh cắp 400.000 Ethereum từ sàn giao dịch tiền điện tử Bybit vào thứ sáu, CEO Ben Zhou và nhóm của ông đã nhanh chóng hành động để trấn an khách hàng rằng tiền của họ an toàn và sàn giao dịch vẫn có khả năng thanh toán.

Trong một bài đăng trên Twitter Spaces vào ngày 22 tháng 2 (một ngày sau vụ tấn công), Zhou cho biết CFO của ông đã nói với ông rằng, "Đúng vậy, chúng tôi có đủ tiền để trang trải khoản lỗ này". Trong cuộc phỏng vấn, Zhou tiếp tục nói rằng ông "không chắc có bao nhiêu thanh khoản của chúng tôi nằm ở các token nào" và liệu "chúng tôi có đủ ETH" để xử lý làn sóng rút tiền sắp tới hay không.

Tuy nhiên, tình hình thực tế phức tạp hơn nhiều. Có vẻ như công ty có thể đã bị thiếu hụt 385 triệu đô la trong ví giao dịch của mình trước khi vay vốn từ các đối tác trong ngành để bù đắp khoản thiếu hụt này. Mặc dù Bybit xứng đáng được khen ngợi vì có thể lấp đầy khoảng trống này một cách nhanh chóng, nhưng sự thiếu hụt ban đầu cho thấy lý do tại sao các tiêu chuẩn minh bạch hiện tại của ngành, đặc biệt là Proof of Reserves, lại không đáp ứng được nhu cầu của khách hàng giao dịch tiền điện tử.

Bằng chứng về dự trữ (không đủ)

Sự sụp đổ của FTX vào năm 2022 đã gióng lên hồi chuông cảnh báo cho toàn bộ ngành công nghiệp tiền điện tử. Điều này khiến hàng triệu nhà giao dịch tiền điện tử trên toàn thế giới nhận ra rằng họ không còn có thể tin tưởng vào những gì hiển thị trên màn hình máy tính và điện thoại di động của mình nữa. Khi tin tức Sam Bankman-Fried biển thủ hàng tỷ đô la tiền của khách hàng nổ ra, số dư ban đầu được hiển thị hóa ra lại là một con số ma.

Cách tốt nhất để giải quyết vấn đề này là thông qua kiểm toán, một quy trình toàn diện do một công ty kế toán quản lý, theo dõi dòng tiền chảy vào và ra, đồng thời tính đến mọi khoản nợ phải trả hoặc quyền thế chấp mà công ty có thể có, điều này có thể làm giảm tài sản thu hồi được của khách hàng. Những cuộc kiểm toán như vậy đặc biệt quan trọng đối với ngành công nghiệp tiền điện tử vì không có biện pháp bảo vệ nào tương tự như của Tổng công ty Bảo hiểm Tiền gửi Liên bang (FDIC), nơi bảo đảm tiền gửi lên tới 250.000 đô la cho mỗi tài khoản tại các ngân hàng Hoa Kỳ.

Do tiền điện tử có tiếng là rủi ro, nhiều công ty gặp khó khăn khi tiến hành kiểm toán và những công ty thực hiện kiểm toán hầu như không bao giờ công khai báo cáo kiểm toán của mình. Điều này có nghĩa là khách hàng không còn lựa chọn nào khác ngoài việc phải dựa vào các phương tiện khác để các sàn giao dịch chứng minh khả năng thanh toán của mình, cụ thể là “Bằng chứng dự trữ” (PoR).

Các báo cáo này có sẵn trên hầu hết mọi sàn giao dịch lớn trên trang web của họ và được thiết kế để thực hiện hai mục đích:

1. Hiển thị số dư tiền điện tử trên một sàn giao dịch cụ thể tại một thời điểm nhất định, bao gồm tất cả các mã thông báo có thể giao dịch.

2. Thông qua cơ chế mã hóa được gọi là cây Merkle, khách hàng có thể thấy số dư cụ thể của mình được bao gồm trong số dư tổng được hiển thị trên trang web.

Chứng nhận dự trữ là một cải tiến lớn, nhưng vẫn chưa đủ. Trong cuộc phỏng vấn năm 2022 với Forbes, người sáng lập Kraken Jesse Powell đã nhấn mạnh sự khác biệt giữa kiểm toán và bằng chứng dự trữ. “Bạn không có cách nào biết được liệu chúng tôi có vừa vay 100.000 bitcoin từ một nhà đầu tư nào đó để thực hiện ảnh chụp nhanh này không. Và sau đó, bạn biết đấy, chúng tôi đã trả lại năm phút sau đó.”

Ngoài ra, đối với một công ty như Bybit, bằng chứng dự trữ chỉ được cập nhật một lần một tháng, khiến khách hàng tin tưởng hơn vào sự tin tưởng rằng số tiền được báo cáo sẽ vẫn ở đó trong thời gian dài. “Nếu bạn công bố (báo cáo xác minh) thường xuyên hơn, những điều này ít có khả năng xảy ra hơn và có nhiều khả năng được phát hiện kịp thời hơn”, Powell cho biết. “Ví dụ, nếu bạn thấy 100.000 đồng tiền di chuyển trên chuỗi vào ngày 30 hàng tháng, ông nói.”

Người phát ngôn của Bybit nói với Unchained rằng sàn giao dịch đã được kiểm toán, nhưng không tiết lộ tên công ty kiểm toán hoặc cung cấp thông tin chi tiết khác.

Bằng chứng dự trữ cuối cùng của Bybit trước vụ hack

Thật trùng hợp, Bybit đã phát hành bằng chứng dự trữ của mình vào ngày 20 tháng 2, một ngày trước vụ hack. Theo dữ liệu trong bảng dưới đây, tổng tài sản trên nền tảng của công ty tại thời điểm đó là khoảng 17,47 tỷ đô la Mỹ. Trong tổng số này, khoảng 16,3 tỷ đô la là nợ phải trả từ tiền gửi của khách hàng. Điều đó khiến số tài sản còn lại là 1,15 tỷ đô la, bao gồm các đồng tiền ổn định, Bitcoin, Ethereum và các mã thông báo ít được biết đến hơn như MANA của Decentraland — trừ khi công ty có thêm dự trữ không được bao gồm trong bằng chứng dự trữ.

Tuy nhiên, khi nhóm Lazarus của Triều Tiên đánh cắp 1,5 tỷ đô la Ethereum vào ngày 21 tháng 2, họ đã để lại một lỗ hổng 385 triệu đô la trong bằng chứng dự trữ của Bybit.

Trong những ngày tiếp theo, Bybit đã hợp tác chặt chẽ với các đối tác như sàn giao dịch tiền điện tử MEXC và Bitget và công ty môi giới lớn Antalpha để tái cấp vốn cho Proof of Reserves (PoR).

Trong tuyên bố sáng nay, công ty cho biết họ đã khôi phục "77% tài sản được quản lý (AUM) về mức trước khi xảy ra sự cố" và tỷ lệ thế chấp Ethereum đã phục hồi lên 102%. Hành động nhanh chóng này đã ổn định thị trường nhưng không cho biết liệu Bybit có bất kỳ ràng buộc nào đối với số Ethereum mà họ nhận được sau vụ hack hay không hoặc Bybit đã đồng ý những điều khoản nào cho số tiền đó. Câu trả lời không nằm ở việc chứng minh dự trữ.

Cách kiểm toán cung cấp bức tranh toàn cảnh

Đối với một sàn giao dịch niêm yết như Coinbase, bất kỳ ai cũng có thể nhanh chóng xem bảng cân đối kế toán đã kiểm toán để hiểu được bức tranh tài chính toàn cảnh của sàn. Báo cáo tài chính quý IV năm 2024 được công bố vào ngày 13 tháng 2 năm 2025 và dữ liệu cho thấy công ty nắm giữ 1,5 tỷ đô la tài sản đầu tư, nghĩa là chúng tách biệt với mọi khoản nợ phải trả của khách hàng. Điều thú vị là con số này chỉ cao hơn 385 triệu đô la so với thặng dư của Bybit trước cuộc tấn công.

Nhưng phần quan trọng hơn là 10,28 tỷ đô la vốn chủ sở hữu của công ty. Có thể coi đây là khoản vốn dư thừa có thể được sử dụng cho các hoạt động chung hoặc làm quỹ khẩn cấp. Hai thành phần chính của vốn chủ sở hữu là: lợi nhuận chưa phân phối là 4,96 tỷ đô la, nghĩa là lợi nhuận mà các cổ đông chưa trích ra, và vốn góp bổ sung là 5,4 tỷ đô la, nghĩa là số tiền mà các nhà đầu tư đã trả vượt quá mệnh giá 0,00001 đô la của cổ phiếu, nhận được thông qua việc bán trực tiếp từ công ty. Lịch trình bán hàng cụ thể có thể được xem trong bảng cân đối kế toán bên dưới.

Đối với một công ty tư nhân như Bybit, việc hiểu rõ về lợi nhuận giữ lại của công ty sẽ đặc biệt hữu ích, cho dù đó là dưới dạng tiền điện tử, tiền ổn định hay tiền pháp định. Nhưng thông tin này vẫn chưa được công bố.

Bybit có thể thu hẹp khoảng cách như thế nào

Bybit là sàn giao dịch tiền điện tử lớn thứ hai thế giới tính theo khối lượng giao dịch và mặc dù công ty không cung cấp bất kỳ thông tin chi tiết bổ sung nào về tình hình tài chính của mình, nhưng những người trong ngành tin rằng công ty có một số cách để thu hẹp khoảng cách. Một đối tác kinh doanh muốn giấu tên cho biết công ty có thể đã giữ lại lợi nhuận không được đưa vào chứng chỉ dự trữ, nhưng ông không thể giải thích thêm.

Giám đốc điều hành của một sàn giao dịch đối thủ, người cũng đồng ý phát biểu ẩn danh, cho biết công ty của ông có thể bù đắp được khoản thiếu hụt trong vòng vài tháng và toàn bộ khoản lỗ trong vòng vài năm. Tuy nhiên, ông cũng cảnh báo rằng chi phí vận hành một sàn giao dịch khá cao. Ông cho biết: "Theo tôi, một doanh nghiệp trao đổi hàng hóa tốt có thể đạt lợi nhuận 50%", đồng thời nói thêm rằng ngân sách tiếp thị và tuân thủ quy định quá mức có thể nhanh chóng khiến tỷ lệ chi phí tăng vọt. Giả sử vụ trộm 15 tỷ đô la tương đương với doanh thu một năm của Bybit, "sẽ mất ít nhất hai năm để sàn giao dịch này bù đắp được số tiền đã mất". Tuy nhiên, ông cho biết kể từ vụ tấn công, giá Ethereum đã giảm từ 2.800 đô la xuống 2.300 đô la, vì vậy giả sử không có sự sụt giảm tương ứng về khối lượng giao dịch, điều đó có thể rút ngắn thời gian bù đắp khoảng cách.

Một cách khác để lấp đầy khoảng trống là thu hồi số tiền bị đánh cắp. Nhiều tổ chức cho biết họ sẵn sàng đóng băng tài sản và hỗ trợ thu hồi tiền nếu có thể. Công ty đã bỏ lỡ chương trình tiền thưởng trị giá lên tới 140 triệu đô la để giúp đóng băng và thu hồi tiền. Cho đến nay, công ty đã trả 4,23 triệu đô la, trong đó khoản tiền thưởng lớn nhất được trả cho Mantle, công ty đã đóng băng 15.000 mETH (trị giá 34 triệu đô la).

Do đó, Bybit có nhiều cách để khôi phục tiền. Nhưng khi tiền điện tử bước vào kỷ nguyên hợp pháp hóa mới vào năm 2025, việc thúc đẩy tính minh bạch vẫn đóng vai trò quan trọng.