本文为「去中心化交易所」系列之一。
本系列旨在帮助读者系统理解不同交易所的资金托管结构——
从中心化到链上化,从人工审批到程序执行,
理清资产控制权、信任边界与潜在风险。
作者:Sevclub,Seven Research
上一篇,我们聊到 Hyperliquid —— 一个在结构上最接近 “完全去中心化” 的混合型交易所。它让撮合、清算、结算全部上链,用系统去替代信任。
但我们也看到,它的去中心化仍有边界:结构透明了,权力未必去中心;资产可验证,但治理仍在中心化的灰区。
这次借着这个话题,我们希望把问题再往前推进一步——究竟该通过哪些纬度来判断一个交易所的去中心化程度? 哪些要素是由技术架构决定的,哪些又取决于制度与设计? 毕竟,在讨论一个交易所是否真正 “去中心化” 时,明确这些维度,不仅有助于厘清其运作本质,也能让投资者在面对不同平台时,做出更理性和有依据的分析与决策。
今天,我们先从最基础、也是最直观的维度聊起:资金托管(Custody)——你的钱,存在哪里?
无论是 AMM 模型的 DEX、采用跨链桥机制的链上交易所,还是传统的中心化平台(CEX),
“资金托管方式” 始终是很多新手需要理解这些交易所风险与信任的第一把钥匙。
一、中心化托管(CEX):效率与信任之间的矛盾
很多新手最开始、最容易接触的,是中心化交易所。传统中心化交易所有一个优势,就是出入金渠道很完善,这是 DEX 目前暂时无法替代的,至少在体验上。
在传统中心化交易所(CEX)中,用户的资产首先被转入平台的内部账户。
表面上账户余额实时更新、出入顺畅,但那只是数据库里的数字,并不等于链上资产的实时归属。
CEX 的托管逻辑,与传统证券或银行体系非常相似:
用户的资金并不直接存放在链上,而是集中在平台的几个总账户(钱包地址)中。
交易所只需在内部账本上完成 “记账式结算”,即可在几毫秒内完成撮合和成交记录。
正是这种 “账内撮合、集中记账” 的模式,让 CEX 拥有极高的执行效率与流动性:
它不需要等待区块确认,也无需支付 Gas 费用,交易体验因此远优于链上系统。
但其高效的代价是,用户资金需要完全托管给平台。平台掌握这些资金的全部私钥,可以:
- 审批、延迟甚至拒绝提现;
- 在未披露的情况下挪用或质押用户资产;
- 以 “合规” 或 “风控” 为名冻结资金。
实际运作中,交易所通常将资产分为**热钱包(Hot Wallet)与冷钱包(Cold Wallet)两类:
- 热钱包负责日常撮合和提现,在线并随时可动用;
- 冷钱包则离线保存大部分资产以降低被盗风险。
为弥补单点私钥风险,许多平台采用多签(multisig)或门限签名(M-of-N)来分散私钥控制,并配合权限分离、审计日志、提现审批流程与签名门槛设定等操作性治理。
不过,这些技术与流程只能降低操作风险,不能完全消除由管理方滥用权力、合规政策压力或内部人员作恶导致的系统性风险。因此,当 “去中心化” 被用作营销词时,点亮风险雷达的首要问题仍然是——钱究竟放在哪里、谁能动用、动用时需满足怎样的流程与外部可验证机制。
从 Mt.Gox 到 FTX,十年的经验证明:
当托管权集中于单一主体,透明度的缺失终将转化为系统性风险。
CEX 的 “效率” 来自于中心化账本,而 “风险” 也正源于这种中心化结构。
用户看到的,是一套由平台维护的余额系统;
真正的资产,却可能早已混同在平台的总资金池中。
更关键的是,目前多数国家的监管体系仍然未能完全覆盖加密资产的托管行为。
传统金融机构受到资本充足率、分账监管和投资者保护条款的约束,
而加密交易所往往处在灰色地带——
既非银行,也非证券经纪商。
这意味着:
- 平台如何使用客户资产,通常缺乏强制披露;
- 破产时的资产清算顺序,没有统一法律框架;
- 监管机构无法实时追踪链上资金流向。
因此,即便有 “审计报告” 或 “储备证明”,
它们在法律上往往不具备同等效力。
一旦信任破裂,用户能否追回资产,依旧取决于所在司法辖区的模糊判定。
中心化托管的本质是一种 “机构信任”。
它依赖平台的声誉、审计制度和监管框架,而非可公开验证的区块链规则。
一旦发生信任危机,交易所挤兑、倒闭,用户无法提现时才会意识到:自己拥有的,从来不是链上的资产,而是对交易所的一份 “账面债权”。
这是所有踏入这个行业的人都必须理解的风险,无论你是老手还是新手。
有人说过一句话:
**“在中心化交易所没有一分钱的人,要么是还没入门的新手,要么是已经看透的老手。
二、授权式自托管:Uniswap 与 “貔貅盘” 的两面
而 Uniswap 代表了另一种逻辑——资金不托管于平台,而是直接存在智能合约中。
用户并不将资产 “存入”,而是在交易时临时授权合约调用,交易完成后,资产立即返回钱包。
这也是我们在上一期讲到的 AMM 模型(自动做市商),它构成了去中心化交易所(DEX)的原型。
AMM 的原理与 “链上托管” 的本质
AMM 的核心是一个资金池(Pool),其中存放两种资产(例如 ETH 与 USDC),
定价规则遵循恒定乘积公式:x × y = k
其中 x 和 y 分别代表池中两种资产的储备量,而 k 是常数——
无论交易多少,乘积必须保持不变(忽略手续费)。
这意味着:
- 当用户买入 ETH(向池中支付 USDC),ETH 储备减少、USDC 储备增加;
- 系统自动调整价格,维持恒定乘积关系;
- 价格不再由挂单决定,而由资金池内的资产比例自动生成。
以「用 1 ETH 兑换 USDC」举例
① 授权(Approve)
用户先授权 Router 合约可以调用一定额度的资产。这个授权并非 “存入”,
而是让合约在交易时临时调用。
② 提交交易
用户在前端发起交易,钱包进行签名确认。交易信息包含预期滑点、最小到手量、截止时间等参数。
③ 原子执行(On-chain Swap)
Router 合约接收 ETH,将其发送至 Pool 合约;
Pool 按恒定乘积公式(x*y=k)计算并发放对应数量的 USDC,
最终资金直接回到用户的钱包。
④ 状态更新
储备被更新,交易事件在链上记录。
全程无人工环节,也没有提现申请。
这就是 AMM 的托管逻辑:
用户资金的 “托管者” 是合约本身,而非某个中心化机构。
流动性提供者(LP)与 “存取” 的真正意义
只有当用户成为 LP(流动性提供者) 时,才涉及到 “存入” 与 “提取” 的概念:
- 存入(Add Liquidity):按比例向池中存入两种资产,获得 LP 代币;
- 提取(Remove Liquidity):销毁 LP 代币,取回两种资产与手续费分成。
这看似简单,却隐藏着 无常损失(Impermanent Loss)。
当市场价格波动时,池子自动再平衡;若价格反转,
提取时的总资产可能低于单纯持币的收益。
换句话说,AMM 用算法替代了做市商,却把波动风险重新分配给了普通参与者。
自托管 ≠ 无风险:从授权到 “貔貅盘”
AMM 这种模式的优点显而易见:
- 平台无法挪用资金,所有规则由代码执行;
- 所有交易都在链上执行,可验证、可追溯;
- 没有 “提现申请” 环节,用户随时可以自主操作。
然而,自托管并不等于安全。
授权行为本身就可能成为风险源。
过去几年中,出现了大量伪装成 “高收益挖矿” 或 “聚合交易” 的合约项目,
诱导用户授权无限额度的 approve() 调用。
这些合约表面正常,实则是典型的 “貔貅盘” ——
取名自只进不出的瑞兽,寓意 “资金一旦进去,就再也出不来”。
常见特征包括:
- 合约可接收代币,却没有提现逻辑;
- 预留管理员权限,可随时转走授权资产;
- 借钓鱼网站或空投伪装,引导用户签署授权。
在这些骗局中,钱包仍在用户手中,
但资产所有权已被合约夺走。
这揭示了自托管模型的代价:
它消除了 “平台风险”,但放大了 “判断风险”。
用户必须对每一次授权、每一份代码承担全部后果。
在自托管体系中,错误不是由别人来承担的,而是由你自己签下的那一行代码。
AMM 模型最大限度让用户拥有资产的控制权,
但同时,也把所有的安全责任还给了个人。
在中心化平台里,你失去了控制权,却换来了托管保护;
而在自托管的世界里,你重新掌握控制权,但也必须具备足够的判断力,
去识别哪些合约值得信任。
这正是 DEX 模型的第一层矛盾:
去中心化给用户带来了自由,也带来了自我托管的责任。
下一期,我们再聊链上交易所的两种托管模式。
免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。
欢迎加入 Web3Caff 官方社群:X(Twitter)账号丨Web3Caff Research X(Twitter)账号丨微信读者群丨微信公众号
