作者:J.A.E
10月16日凌晨,加密市场出现戏剧性一幕,稳定币发行机构Paxos突然铸造并销毁了300万亿枚PayPal USD(PYUSD),让市场一头雾水。这一“乌龙”事件不仅是一次单纯的人工失误,更生动地揭示了中心化稳定币在技术治理与内部控制层面存在着固有的脆弱性。
史上最大“乌龙指”,Paxos手滑增发300万亿枚PYUSD
事件始于Paxos的一次内部操作,根据其在Etherscan上的交易记录推断,Paxos原本应准备在不同钱包之间转移3亿PYUSD,但却意外将其销毁了。
3亿PYUSD在总流通供应量中占比超11%,达到了一定的规模,但因销毁本质上是在减少流通供应,其仅导致了供应量的短期收缩,对锚定机制并未产生影响。然而,此次意外销毁只是后续灾难性错误的序章。
Paxos在尝试纠正其失误时,“胖手指”突发(一种参数输入错误,典型症状就是多输入了几个零),意外铸造了300万亿PYUSD的供应。CoinMarketCap数据显示,PYUSD目前市值仅约26亿美元,其错误铸币量相当于流通供应量的113,250倍,两者形成了强烈的对比。如果按1美元计价,PYUSD的错误铸币总额相当于全球 GDP两倍多,远超美国M1/M2与整个加密市场市值。这意味着,即便Paxos拥有足额储备,但面对300万亿的供应,其资产抵押率也将瞬间归零,用户持有的PYUSD亦将分币不值,导致市场信心崩溃并引发连锁反应。
另外,若这一巨量PYUSD用于链上交易,被套利机器人或做市商捕获并利用,即便只是短暂几秒钟,也将导致DEX上的流动性池重度失衡,并促使PYUSD价格的急速脱钩。在AMM模型中,陡增的巨额供应将导致PYUSD相对其它资产的价格急速下跌,进而导致剧烈脱锚。头部DeFi借贷协议Aave在问题发生后紧急冻结了PYUSD市场,预防潜在风险。Chaos Labs创始人Omer Goldberg也在X平台发帖称:因PYUSD的意外高额铸造与销毁操作,其将临时冻结相关交易。
为了避免灾难性后果,Paxos不得不再度采取销毁行动,将意外铸造的300万亿PYUSD供应量从钱包中移除,以避免其铸币失误对生态系统可能产生的灭顶之灾。事故平息后,Aave也解冻了PYUSD的相关市场。
虽然Paxos生成问题只是内部技术故障,但其紧急干预过程也反映了中心化稳定币的悖论: 即使发行方具有足额的资产储备且掌握绝对的铸币/销毁权限,但如果技术治理与内部控制存在缺陷,其对供应量的“上帝权限”反而可能导致系统性危机。
内部成最大单点风险,稳定币发行方该如何优化?
Paxos一向以其受监管和合规为卖点,并将此视作与其他稳定币发行方的竞争护城河,尤其是在面对监管透明度较低的Tether时。然而,此次事件令市场开始质疑,一家声称高度合规的受监管实体,为何其操作流程会允许低级的参数输入错误通过层层安全检查?
此次技术问题也令市场意识到:法币储备与定期审计固然重要,但其并不能消除技术治理与内部控制风险。 该“乌龙”事件亦或将侵蚀Paxos的监管优势,使其技术风险画像在一定程度上类似于缺乏监管的竞争对手。
无独有偶,Tether也曾在2019年意外铸造并销毁约50亿美元的USDT。然而,Paxos 的此次错误规模之大,引起了更广泛的担忧。这也进一步表明,法币储备型稳定币并非无懈可击,其风险点或将再新增两项技术治理与内部控制的问题。
在纠错的过程中,Paxos的“上帝权限”挽救了PYUSD免于瞬间崩溃。 为了维持1:1的挂钩,法币储备稳定币必须拥有绝对的铸币/销毁权限。但此类必要之恶,也正是最大的单点风险。若要解决由此连带的操作风险,稳定币发行方应建立更严格的内部控制流程。然而,其也意味着更高的运营成本与中心化程度。
稳定币发行方面临着一个两难困境:如何在维持快速介入能力(中心化)的同时,把人为操作的失误概率降至最低(去中心化/自动化流程)?该挑战将成为未来稳定币治理的关键问题。
针对此次因参数输入失误导致的“乌龙事件”,Paxos等稳定币发行方须在技术治理与内部控制层面实施根本性强化: 1)技术层面应设置异常值检测与时间锁定, 智能合约层面须嵌入异常值检测机制,比如任何单笔铸币或销毁量超过储备总量某一阈值(如10%)的交易,必须启动小时级别的冷静期,或由系统自动中止,再等待手动审批; 2)内控方面应强制多签, 铸币/销毁操作须采用严格的多重签名机制,要求至少三名具有不同职能背景(例如技术、财务、合规)的高管共同审批与签署,以保证对输入参数的校验。
Paxos的“胖手指”虽未导致市场崩塌,但却揭示了系统性风险,也给所有发行方敲响了警钟: 对中心化稳定币的管理,必须从单纯的储备透明度深入到技术治理与内部控制层面,以确保自身不会再因低级的参数输入错误而招致市场质疑。
