比特币、区块链与可信金融

本篇文章来自之前所做的一个访谈,考虑到BlockChain本身是个很容易被误解的问题,为了保障客观,我(下称“叉君”)很荣幸邀请到了比特币交易平台“火币网”、前P2P“积木盒子”的运维架构师(下称“电老虎”)、某私募资金对接平台技术合伙人(下称“白乌鸦”),从互联网、金融、安全多方面的技术背景来聊聊比特币、区块链以及可信金融的各个方面,希望能展示一个更全面的可信金融趋势。

PS:这不是一篇介绍blockchain的文章,学习请翻阅相关paper,并确保读懂了再分享

不断浴火重生的电子货币

近几年比特币重新出现在公众的视野,第一次是由于大量的交易带来巨幅上涨,连广场舞大妈都开始讨论比特币交易,但是随之而来的市场泡沫破裂导致猛烈崩盘,随着政策叫停、市场收窄、投机者减少而慢慢淡出我们的视野。

第二次是由于最近的区块链技术,这样一个根植于比特币的分布式账单结算解决方案,不仅得到了奥巴马的青睐,同时随着R3区块链联盟的兴起,这个领域再一次被推向了高潮。

目前区块链联盟获得了金融界广泛的重视,不仅有以R3为首的银行联盟(包含了四十家以上的世界级银行,如美国花旗、汇丰、甚至还包含我国的平安),还有“以太坊”这类多方合作的可信交易方案,我国也出现了“金链盟”这样的金融业跨界合作。

那么区块链到底为什么这么溜,能把已经半死不活的比特币概念再次推向大众的视野?

比特币or区块链,傻傻分不清楚

叉君:现在比特币又火起来了,不过相对于比特币本身,Blockchain好像更受关注,从你们的角度来看,觉得这个技术造成了什么影响?

电老虎:这两年区块链的发展还是有点超乎想象,我觉得一个可能是技术圈受了O’Relly的《Blockchain》这本书影响,把区块链单独拿出来讲了,大家读了之后觉得可以用上。比特币本身在我们国内可能本身关注度并不是很高,而且主要集中在一些投资理财的群体上。

叉君:但是我发现比特币的Proof of work,简单说来就是挖矿,这个挖矿的工作也就是在做一些猜测的工作,在有限的时间去猜一定数量的block hash值,通过这种方式来抢先接上区块链,以此获得一些比特币。那么这也代表了发行权不在某个央行或者联盟的手里,而是随机被某些人获取的。那么怎么能把它用在实际的金融里呢?

白乌鸦:对的,如果光从比特币来看的话,我们从金融的角度来说,首先它没有政府和企业背书,既不是债券,也不是股权证明,所以剩下来的也就只有一个信用的概念。真正决定他价值的,主要是一些交易和境外结算。

叉君:那从我们国内的情况来看,火币网主要有哪些使用情况? 电老虎:境外结算这个目前火币的统计分析还没有做到这一步,但是从我们的客服反馈来看,目前火币的主流客户最重视的还是理财需求。

叉君:我在国外也看到了境外结算的例子,确实是有一些人会去用这样的一个wallet,我们有没有朝这个发展的趋势呢?

电老虎:这个事情上面,我们是有计划要做的,但是现在作为第三方交易平台,我们更侧重于扮演一个“交易所”的角色,而不是这种结算平台。而每个平台由于用户群和信用度的区别,可以区分为“撮合商”和“做市商”,所以实际上每个平台的比特币价格是有区别的。

“可信”金融 与 安全“隐患”

叉君:那你们在安全方面有没有发现什么隐患?

电老虎:我觉得目前来看,隐患是非常大的,像之前的Mt.Gox就是因为安全事故,导致了系统内部的钱包被盗走。而火币网也是在不停对安全进行加固,比如增加对用户授权的二次校验,还有就是对各种交易过程的加密。

叉君:我之前看到有些情况,比如一些量化高频来造市的问题,是不是也有可能发生在这些平台上?

电老虎:因为没有足够的政策和法律监管,比特币也缺少对常见金融犯罪场景的防范手段,整个行业都还很年轻,都是在摸着石头过河。但是即使是传统的证券业,甚至是我们的A股,相比于美国这种高有效市场(源于效率市场假说),国内的环境是一个低有效市场,还存在很多内幕交易,所以需要完善的不只是技术上的问题,更有政策法规的问题。

白乌鸦:补充一下,我觉得有必要把比特币和交易平台的系统安全分开,首先我觉得比特币本身确实是比较安全的。但是平台的安全度却参差不齐,至少从我目前接触到的情况来看,金融业对安全的重视程度也在不断提高,而且因为比特币相关的产业起步比较晚,这需要一定时间。

叉君:有没有可能通过一个受信的平台去缩短这个交易确认时间,同时提供一个端到端的更安全的方案存放比特币?

电老虎:你说的这个是非常正确的,而且确实是应该由平台来做,但是因为受限于比特币这个概念,对于很多人来说非常难理解,尤其你看wallet那个字符串,对一般用户来说都是很不友好的,要大众去使用这个东西本身就比较困难。并且由于最初介入这个产业的初创企业更多看中投资回报,所以目前来说交易所的重心可能还是会在交易量上,而不是安全性上。

白乌鸦:我必须说一下,这些还只是比特币的玩法,但是“区块链”这个东西,起到了一个结算标准的作用,所以我觉得它对金融行业的价值是远远超过比特币的。

叉君:那么区块链是如何引起金融界的兴趣的呢?

白乌鸦:这就非常有说头了!区块链可以说是能够改善整个行业环境的一个东西。拿电子合约举例,银行之间的交易需要第三个银行来证明,每个私募基金、股权众筹都需要一个合约,甚至信用卡支付也是要一个签名来证明交易的。

而有了“区块链”这个东西,可以用电子合约更好地把控到某些交易信息,同时从技术层面上保证这个标准的实施。一个组织采用了区块链,也就可以让这些合约分布到每个参与者身上,就拿我们合伙人举例,本来合伙人是有GP的,如果我们采用区块链来记录合约,所有人去遵从这个标准,也就代表我们每个人都是GP了。

比特币已死?

叉君:据我所知一些大型企业也对区块链很有兴趣,你们有看到这方面的趋势吗?

白乌鸦:是的,目前最出名的有两个,一个是R3这种联盟,目前好像是有几十家银行,有国外的很多大型银行还包括了平安银行、汇丰银行,还有摩根这种私立投行。还有一个就是以太坊这种公有链,给原来没有财务结算以外功能的区块链加上了一层图灵等价的包装,提供给各种需要的场合使用,然后就产生了DAO这种股权众筹的组织,它把股权的分配按照以太币来分发给投资人,通过电子合约的方式将其作为投资人的凭证。而且DAO貌似还希望采用POS(proof of stake)来替代POW(proof of work),这里面的想象空间很大。

叉君:听起来私有链和公有链,很像云计算的概念啊,私有云、公有云。

白乌鸦:嗯,确实有那么点意思,所以blockchain作为一种结算和合约的标准,已经开始用在各种领域了,包括国内有个“金链盟”,里面有阿里和腾讯这些互联网巨头,还有一些银行、保险业的企业。

叉君:那看起来以太坊提供的这个思路,是拓展了比特币的一些能力,但是可能还和原来一样是依赖于具体的平台商的安全水平,所以即便blockchain可以做到尽量安全,或者说攻击成本很高,但是如果从系统设计上没有做好防范还是一样会可能会发生大的安全事故。

电老虎:对,这个东西有点类似“师父领进门,修行看个人”的意思。

(注:就在这个访谈后的一天,DAO被报道发生了重大安全事故,详见史上最大众筹项目DAO遭攻击 逾5000万美元以太币被盗 拖累比特币跌10%-华尔街见闻 ,面对DAO被黑,社区最终采取了硬分叉的方案,由此以太坊的区块链出现了两条分支,并且衍生出一些企图通过增加分支算力解决分歧的组织。)

对于金融产业,至少我们可以看到“比特币”和“区块链”提供了一个非常有想象空间的产业革新,它包括了底层的银行结算标准,也提供了一些如可信交易与电子合约的应用,同时对信息安全提出了更高的要求,让我不禁想起“敏捷已死”这个说法,也可以套用在这里,比特币一定不是最后的银弹,但我相信对于可信金融的需求会永远存在,而且随着技术革新不断发展下去,未来的发展将超乎我们今天的想象。

Share

场景化金融时代的平台建设

某个月初周末的清晨,老李很早就起床了,刚发了退休金,银行排队的人肯定不少。他身体很硬朗,坐了两站公交车,又走了一段路,来到银行门口,虽然还没开门,已经有4、5个老哥们等在那了。老李赶紧走过去。没过几分钟,他身后排起了长龙。他很庆幸自己来的早。他每个月都把退休金取出来存到零存整取的折子上。重孙子马上要出生了,他要给娃攒点教育储备金。

……

此时,老李的儿子大李才起床。周末了,没啥事。他开了电脑,打开交行网银,把月提的公积金转到按揭还款的卡里。又想起上月有个违章停车,就打开工行的网银缴了罚款。工资卡是中行的,上月工资已经发了,他又打开中行网银选了几只往期表现比较好的基金。之后,老李泡了杯茶,又想起要交上个季度的燃气和水费,拿出手机,打开北京银行手机网银准备缴费,操作有点不熟练。

……

快10点了,老李的孙子小李才醒。眼睛刚扒开一条缝,手已经摸到手机举在面前了。没等眼睛适应手机屏幕的光线,小李已经三两下打开了老婆的购物车,选好的待产包就躺在那,小李赶紧支付了。下周五是老婆产检的日子,他赶紧预约好号。两个月前,小李办了XX银行的X医通卡,预约挂号交费一条龙服务,他终于可以跟医院收费窗口的长龙说拜拜了。为了迎接小生命,下周末老妈和丈母娘都要来帮忙,得赶紧把机票定好。还有老婆爱喝某克隆超市的酸枣汁,订一箱。呃,老婆大人醒了…..

老百姓这三代人,对金融服务有着三代截然不同的理解:祖辈,金融就是银行,银行在网点里,要存款、要借钱,都得到这里来;父辈,网银、手机银行,各种渠道让我跟方便,除了储蓄,我还可以投资基金、股票;我们,什么是金融?貌似跟我没关系,但当我要购物、我要出行、我要娱乐、我要融资……金融就在这些场景里,默默地为我服务。

图1:金融的互联网化之路

一、什么是场景化金融

在互联网时代,用户的所有行为,包括金融行为,都将融入到具体的场景里」,场景化金融是互联网金融未来的方向。

当前,在互联网公司的冲击下,传统的金融机构尤其是银行,开始尝试反击。在组织架构上,各大国有行、股份制银行都设立了自己的互联网金融部;在客户渠道上,各种电子银行、移动银行、资产交易平台纷纷上线;在产品设计上,无论是对融资端还是投资端,都越来越倾向于互联网短平快的特点。

虽然金融机构的互联网化的确给其已有用户带来体验提升,但在应对和反击互联网公司的蚕食上效果甚微。银率网的评测报告显示,2015年银行传统渠道使用率比2014年有较大幅度的下降,网点柜面、ATM自助使用率均下降了10%以上;在银行申请办理贷款的用户量同比2014年由17.8%下降到14.57%。

众所周知,金融本身有着封闭和严谨的属性,金融机构因此被打上所需知识过于专业、分业经营、流程严格等「反互联网」的烙印。金融机构用互联网打法去与互联网公司竞争,处于「客场」劣势。然而,无论以什么形式展现,其本质依然是金融。在金融这个领域,金融机构有着互联网公司所欠缺或者无法在短期内获得的优势:专业形象、业务沉淀、和多年来积攒的用户资源等等。与其在「客场」与互联网公司辛苦竞争,对金融公司更有利的,是牢牢把握住场景化金融的核心部分,「主场」作战,结合自身优势做资源整合和数字化转型,构建自己的金融场景,或在与互联网公司合作中处于主导地位。金融机构要做场景化金融,需要把握的一点是:金融是核心、场景是入口、互联网是载体。

二、场景化金融的内在逻辑

场景化金融的内在逻辑,关键在于把握住「风控—>资产—>场景运营—>互联网平台」这个层层递进的关系。

首先,无论是什么形态,其本质仍旧是金融,金融的核心是风控。在「互联网+」的风口上,一些在风控和风险定价上有缺失的平台虽然可以实现短暂的繁荣,但随着互联网热潮的冷却、金融监管的到位和良性竞争的形成,必然是把握住风控和风险定价的平台才能长盛不衰。以互联网金融平台为例,据统计,仅2015年12月份,新增问题平台106家,而2015年全年问题平台累计逾1000家。出去少量「庞氏骗局」自融诈骗的案例外,大多数是因为忽略了风控这一金融核心问题,片面追求高利润而忽视风险,导致资金链断裂,无法持续运营。

第二,场景化金融的根本是资产。资产的来源是多样的:网贷、基金、保险、信托等等,要从中找出最能结合自身特色的优质资产。例如平安陆金所的资产交易平台Lfex,是基于平安集团旗下的资产整合;京东的供应链金融,则是基于对整个电商生态圈的全面掌控。

第三,有了优质资产以后,还需要有非常强的运营团队。这里所指并非IT运营,而是场景构建和产品运营。场景化金融面对的,是互联网上广泛而又不特定的用户,运营团队必须能够做客户细分和精准定位,并据此构建场景入口,确定自己的产品策略:什么时机上线什么产品、如何推广、如何打包资产、用什么样的收益率;进一步地,根据历史交易数据和用户行为分析,确定如何改进用户体验、包装出更适合用户的产品,才能够增加已有用户粘性、吸引更多新用户。

第四,以上所有构想,最终需要一个信息平台来承载和落地。跟其他信息系统不同的是,场景化金融复杂的业务和多变的监管环境,跨界的场景,安全的新要求,对其信息平台提出新的挑战。

三、场景化金融下的平台建设

互联网金融仅凭借传统的投资、理财,在面对新一代用户的「泛金融需求」已捉襟见肘。场景化金融下的平台在逐步完善金融风控体系、多样化的资产来源和打造精细化运营的手段外,还须遵循如下原则:

1. 可扩展性

要让小李随时随地享受金融的便利而又不需刻意感知到钱、柜台、交易的存在,场景化金融要从用户的视角出发、按用户所需来整合产品和渠道;用户场景复杂多变,也就要求信息平台的业务架构必须能够灵活应对多变的资产形式和交易模式。例如,小李妻子之前为了在某知名孕婴童品牌某乐囤货,并办了预付卡,充值400元返现20。但是后来另外一个品牌的预付卡余额是可以理财生息的,并且像婴儿床这样的大件还可以申请分期,对月光族来说再好不过了。就这样,某乐损失了诸多像小李妻子这样的用户。而当某乐也计划在其电商平台引入余额理财和消费金融时,发现之前的预付卡系统不具备这样的扩展性。 此外,针对目前金融机构互联网化所带来的混业经营、异业合作的现状,监管正在一步步完善,今天还在运营的业务模式,明天就有可能随着某一个监管细则的出台而变成违规。这就要求信息平台的技术架构能够快速响应业务变化,具有足够的扩展性。

图2:场景化金融信息平台的业务架构

在业务架构上,需要将业务模型进行抽象和概括,并找出变化点。一般的变化点有:风控机制、资产性质、交易模式、清结算方式、分账算法、账户和流水、资金存管办支付渠道等。再将这些变化点以微服务(Microservices)的技术架构实现。当业务创新或监管变化时,只需要将微服务局部更新升级、或添加新的微服务,来快速应对业务变化。

2. 用户体验

与老李所处的那个「用户忠实追随银行」的时代不同,场景化金融面对的是互联网用户,只有完整的、端到端的流畅体验才能真正将他们沉淀下来。信息平台是线上下相结合中重要的一环,其用户体验的重心需要从软件功能体验转移到全流程的服务体验。

图3:场景化金融用户获客成本和转化率

与常见互联网产品相比,金融产品有如下特点:涉及资金量大、获取利益周期长、知识门槛高、认证手续多。以投资端用户为例,从游客到最终成为忠实用户,需要经过注册、身份认证、绑卡、开户、投资、获取收益等步骤,每个环节都可能造成潜在用户流失,或者将有投资意向的用户拒之门外。

用户体验设计的着力点在于,为每一个用户细分群体设计一个端到端的体验流,并分析这个体验流的每一个节点,找到并移除潜在的用户流失风险,从而为用户提供流畅的投融资体验。

此外,用户全渠道接入也是用户体验设计需要重点考虑的问题。全接入渠道并不是网站、移动App,微信这三个接入渠道上功能的简单叠加,而是三者有机结合:

  • 网站:使用空间受限、不利于金融场景的构建,但是信息展现力强大。在场景化金融平台上,网站多用于运营方实力展示、给投融资客户增加信任感;
  • 微信:天然的社交属性,最适合用户圈子的营造和病毒式营销,用于平台推广。
  • 移动应用(Mobile App):最贴近用户的接入渠道,适于承载高频、碎片化、私密化的功能和操作,最容易增加用户粘性,应为场景化金融平台中沉淀用户的核心载体。

3. 安全至上

与大李所熟知的专业银行网银不同,场景化金融渗透到用户生活的方方面面,它的服务更开放、场景更复杂、对安全性和服务便捷性要求更高。

图4:场景化金融信息平台安全问题

从业务角度讲,由于需要兼顾场景化金融对便捷性的要求,很多平台逻辑设计上有着诸多安全漏洞:例如登录用户权限授权不清,导致可以查看其他用户的私密、财务信息;交易密码重置逻辑设计不完善,导致可以套取其他用户的交易密码等等。从技术角度讲,屈从于场景化金融开放的特点,诸多平台的框架、数据库和代码存在大量安全隐患:例如敏感信息明文传输、向客户端过度暴露后端业务逻辑实现、SQL注入DoS攻击等等。从运营角度讲,安全控制不力会导致恶意注册、恶意认证、恶意套取红包等问题,不只会带来财务损失,还会带来法律风险和声誉受损风险。因此,场景化金融复杂、便利、开放的背景下,安全保障更加重要。

做到安全性,并不仅仅指系统通过安全扫描。它是从业务逻辑安全到技术架构安全、代码级安全,再到运营安全的系统工程,将安全内建于企业基因。

图5:内建安全基因(图片来源:http://www.buildsecurityin.net/)

  • 在项目规划阶段,针对业务特点,对项目利益相关人做安全培训,准备总体的安全规划;
  • 在需求分析阶段,要进行安全建模。同时,把安全需求与业务需求提到同等高度,与业务需求一起列入项目计划;
  • 在架构设计阶段,要考量架构级的安全需求。例如前后端分离的架构、设置同的安全域等;
  • 迭代开发和产品运维阶段,要持续运转「威胁建模-代码审查-安全测试-发布交互」闭环流程,以保证需求不断变化下持续交付的安全性。

对于场景化金融,IT技术仅仅是工具,它将场景入口、互联网载体和金融核心有效的连接起来。企业布局场景化金融时,必须对自身的业务愿景有整体的规划、对金融本质有深刻的理解、对互联网有全面的认识。在此基础上,利用有效的信息平台,对整个企业乃至合作伙伴的资源进行线上线下的深度整合。

在小李所生活的时代,已经没有所谓金融和非金融的界限。他只需要忠实于自己生活、娱乐、购物、出行、教育等实际需要,随时享受着满足这些需要的便利服务。这些便利服务的背后,是银行、保险、理财、支付、电商、互联网等诸多企业的跨圈协作。而高效强大的信息平台,则默默地为跨圈协作提供着灵活、便利、安全的技术支撑。

 

Share