Bithumb误发2000枚BTC背后：CEX账本的根本问题

原文标题：《2000 枚 BTC 的险情背后：CEX 账本的根本问题》

原文作者：叮当，Odaily 星球日报

2 月 6 日晚，韩国加密交易平台 Bithumb 在一次寻常的营销活动中，制造了一场足以写进加密行业年鉴的事故。

这原本只是一场规模极小的「随机宝箱」活动。按照官方设计，平台计划向 695 名参与用户发放总计约 62 万韩元的现金奖励，其中 249 人实际打开宝箱并领取奖励，也就是单人金额约 2000 韩元，折合美元仅 1.4 左右，却因后台单位配置错误，将奖励单位从 KRW（韩元）错设为 BTC（比特币），瞬间向实际打开宝箱的用户每人「空投」了 2000 枚 BTC，总计 62 万枚比特币，单个账户的显示资产即超过 1.6 亿美元。

按当时约 9800 万韩元 / 枚（约 6.7 万美元）的价格计算，这批「凭空出现」的比特币，账面价值约 415–440 亿美元。这些资产虽然并不存在于链上，但它们在交易平台内部系统中是「可交易的」。结果也几乎是即时发生：Bithumb 平台内 BTC/KRW 交易对在十几分钟内，从全球均价快速下挫至 8111 万韩元（约 5.5 万美元），跌幅接近 17%；BTC 全球市场也短暂下跌约 3%，衍生品市场也爆仓超 4 亿美元。

Bithumb 的「神速追回」，真的值得庆幸吗？

Bithumb 在后续的事件披露公告表示，其在误支付发生的 35 分钟内，已对 695 名客户的交易及提现进行了限制，误支付金额的 99% 以上已回收，剩余已被卖出的 0.3%（1788 枚 BTC）已由公司自有资产补足，确保用户资产不受影响。同时，平台还推出了一系列补偿措施。自 2 月 8 日起分批启动用户补偿措施，包括向事故期间在线用户发放 2 万韩元补偿、向低价卖出用户返还差价并额外支付 10% 慰问金，以及自 2 月 9 日起提供为期 7 天的全品种交易手续费 0% 优惠。

整件事情至此，看似已「可控」收场。

但另一个问题，仍在我们心头萦绕不去：Bithumb 为什么可以在后台，一次性生成 62 万枚根本不存在的 BTC？

要回答这个问题，必须回到中心化交易平台最核心、却也最少被普通用户理解的一层：记账方式。

与去中心化交易平台每笔交易直接发生在区块链上、余额由链上状态实时决定不同，中心化交易平台为了追求极致的交易速度、低延迟和极低成本，几乎全部采用「内部账本 + 延迟结算」的混合模式。

用户看到的余额、交易记录、盈亏曲线，本质上都只是交易平台数据库中的数值变动。当你充值、交易、提现时，只有真正涉及链上资产流动的部分（比如提币到外部钱包、跨所转账、大额内部清算）才会触发真实的区块链转账操作。在绝大多数日常场景下，交易平台内部只需修改一行数据库字段，就能完成「一次资产变动」——这正是 Bithumb 能在一瞬间「凭空生成」620,000 枚 BTC 显示余额的根本原因。

这种模式带来了巨大的便利：毫秒级撮合、零 Gas 费、支持杠杆、合约、借贷等复杂金融产品。但便利的另一面，是致命的信任不对称：用户相信「我的余额就是我的资产」，而实际上，用户拥有的只是平台的一纸承诺（IOU）。只要后台权限足够大、校验机制足够松散，就能通过简单的参数错误或恶意操作，让数据库里的数字与真实链上持仓严重脱节。

根据 Bithumb 在 2025 年第三季度披露的数据，平台实际持有的比特币约为 4.26 万枚，其中公司自有资产仅 175 枚，其余为用户托管资产。但在此次事件中，系统却能够一次性向用户账户记入十多倍于真实持仓规模的 BTC 数量。

更重要的是，这些「幽灵余额」并非只存在于后台显示中，而是可以在平台内参与真实撮合、影响价格、制造流动性假象。这已经不再是一个单点技术 Bug，而是中心化交易平台架构中长期存在的内部账本与真实链上资产严重脱节这一系统性风险。

Bithumb 事件，只是这个风险被放大到足以被所有人看见的瞬间。

Mt.Gox：账本幻觉曾如何摧毁一个时代

历史已经一次次用惨痛教训印证了这一点。比如，2014 年的 Mt.Gox 崩盘。尽管这件事已经过去了十余年，但是至今我们仍能记得，每次大额转移到交易平台赔付而带来的市场恐慌。

Mt.Gox 作为当时全球最大的比特币交易平台，曾占据比特币交易量的 70% 以上，却在 2014 年 2 月突然暂停提现、宣布破产，声称「丢失」了约 85 万枚 BTC（当时价值约 4.6 亿美元，后续部分报道调整为 74,4 万枚左右）。表面上看，这是黑客利用比特币协议中的「交易可塑性」漏洞，篡改交易 ID 导致交易平台误以为提现未发生，从而重复发送资金。但深入调查（包括 WizSec 等安全团队 2015 年的报告）揭示了更残酷的真相：绝大部分丢失的比特币早在 2011 年至 2013 年间就已逐步被盗走，Mt.Gox 却多年未察觉，因为其内部会计系统从未真正与链上状态进行定期、全面对账。

Mt.Gox 的内部账本允许「魔法交易」：员工或入侵者能随意增删用户余额，而不需对应链上转账。热钱包被反复入侵，资金被缓慢转移到未知地址，但平台继续显示「正常余额」，甚至在 2011 年的一次重大盗窃后，据传管理层选择隐瞒而非破产，导致后续操作在「分数储备」基础上继续运转。这种账本幻觉维持了数年，直到 2014 年窟窿太大、无法掩盖，才以「交易可塑性 bug」为借口对外公布。最终，Mt.Gox 的破产不仅摧毁了用户信任，还引发比特币价格暴跌超 20%，成为加密史上最著名的「信任崩塌」案例。

FTX：当账本从「记录工具」变成「掩护工具」

最近，因为 Openclaw 的火热，又掀起了一个话题：加密与 AI 的交汇，曾在 FTX 时代达到顶峰。因为 FTX 在崩盘前曾大举投资 AI 领域，其最著名的案例便是领投 AI 初创公司 Anthropic 的数亿美元融资。如果 FTX 没有倒下，其持有的 Anthropic 股权如今可能价值数百亿美元，但破产清算让这笔「AI 彩票」化为泡影。其大厦倾塌的原因是 FTX 内部账本长期、故意与真实资产错配，通过资金混用与隐蔽操作，将客户存款变成了可以随意挪用的「后花园」。

FTX 与其量化交易姊妹公司 Alameda Research 高度绑定，二者同样由 Sam Bankman-Fried（SBF）控制。Alameda 的资产负债表中，充斥着由 FTX 自行发行的原生代币 FTT。这种资产几乎没有外部市场锚定，其价值主要依赖内部流动性和人为维持的价格。而更关键的是，FTX 平台给予 Alameda 近乎无限的信用额度（披露中一度高达 650 亿美元），而这笔额度的真正「担保物」，正是 FTX 用户的存款。

这些客户资金被秘密转移到 Alameda，用于高杠杆交易、风险投资、甚至 SBF 的个人奢侈消费、房地产购置和政治捐款。内部账本在这里扮演了「掩护」角色。

据法庭文件披露，FTX 的数据库可以轻松记录客户存款为「正常余额」，同时在后台通过自定义代码让 Alameda 的账户保持负余额而不触发任何自动清算或风险警报。用户在 App 上看到的余额看似安全可靠，但实际链上资产早已被挪走，用于填补 Alameda 的亏损窟窿或支撑 FTT 价格。

FTX 债权人赔付至今仍未完全解决，破产清算进程仍在持续推进中。

Bithumb 的 35 分钟，只是一个狭窄的窗口

回到 Bithumb，这次事故得以在 35 分钟内收场，并不能掩盖这一风险的严重性。相反，它恰恰说明了应急响应的极限：只有在受影响用户数量有限（仅 695 人）、错误资产尚未大规模上链、且平台拥有极强账户控制能力（一键批量冻结交易/提币/登录权限）的情况下，灾难才被控制在「可自掏腰包补窟窿」的范围内。如果此次乌龙发生在全平台用户级别，或者部分用户已将「幽灵币」提现至其他交易平台甚至链上，Bithumb 很可能会引发更大规模的系统性冲击。

甚至，监管层面也注意到了这一点。2 月 9 日，韩国金融监督院（FSC）表示，Bithumb 近期发生的比特币误发事件凸显加密资产领域存在的系统性脆弱性，有必要进一步强化监管规则。FSS 院长 Lee Chan-jin 在记者会上指出，该事件反映出虚拟资产电子系统的结构性问题，监管部门正就此进行重点审查，并将把相关风险纳入后续立法考量，以推动数字资产纳入更完善的监管框架。现已紧急启动现场检查，并明确表示将扩大至 Upbit、Coinone 等其他本土交易平台，这很可能意味着监管层已经读懂了这个信号。

结语

Bithumb 的 400 亿美元幽灵空投，表面荒诞，实则深刻，它把一个长期存在的问题，用最直观的方式摊在了台面上。中心化交易平台的便利性，本质上建立在一种高度不对称的信任关系之上：用户相信账户中的「余额」就等同于真实资产，而实际上，那只是平台对用户的一项单方面承诺。一旦内部控制失守或被恶意利用，「你的余额」就可能瞬间化为乌有。

因此，Bithumb 事件即便以「可控」收场，也不应被解读为一次成功的危机处理，而更像是一记必须被听见的警钟。交易平台所追求的速度、低成本与高流动性，始终是以用户放弃对资产的直接控制权为代价换取的。只要这一前提不被正视，类似风险就不可能真正消失。

原文链接