Coinbase Q1: убыток $394 млн и сбой AWS в одном квартале

Представьте казино, построенное над электростанцией, которая вам не принадлежит. Свет горит большинство ночей, рулетка крутится, кассир считает фишки. Затем в один вторник сеть даёт сбой — и внезапно никто не может обналичить выигрыш, никто не может сделать ставку, а управляющий висит на телефоне с коммунальной компанией, которая не перезванивает. Примерно так выглядел последний квартал Coinbase.

Что произошло

Coinbase зафиксировала убыток в размере $394 миллионов за первый квартал, и в этот же период пережила сбой, связанный с Amazon Web Services, как сообщила Investing News Network. Две истории, один квартал — и они рифмуются сильнее, чем предполагают заголовки.

Финансовые цифры — это то, от чего на заседании совета директоров воцаряется тишина. Почти четырёхсотмиллионная дыра за один квартал у публично торгуемой биржи — это не погрешность округления. Это сигнал о том, что юнит-экономика роли «регулируемой входной двери в криптовалюту» в США куда шатче, чем внушала инвесторская история.

Сбой AWS — это то, что должно беспокоить инженеров сильнее, даже если акционеров это волнует меньше. Когда крупнейшая американская биржа уходит в офлайн из-за того, что чужой us-east-1 провёл неудачный день, весь нарратив «регулируемой институциональной инфраструктуры» получает серьёзный удар. Клиенты не видят, как падает облачный провайдер. Они видят, как падает Coinbase.

Итак, два отдельных события: одно — в отчёте о прибылях и убытках, другое — на странице статусов. Оба указывают на один и тот же ключевой вопрос: насколько устойчив операционный хребет централизованных криптоплатформ, когда макроэкономический прилив спадает и зависимости начинают отказывать одна за другой?

Техническая анатомия

Любой, кто запускал движок сопоставления ордеров на арендованном железе, знает скучную часть, о которой не говорят на конференциях: облачные регионы — не магия. Это дата-центры с SLA, а SLA — это страховые полисы, а не гарантии аптайма. Когда AWS чихает, каждый арендатор в этом регионе заражается, и радиус поражения целиком зависит от того, как арендатор спроектировал защиту от этого режима отказа.

У биржи масштаба Coinbase есть в целом три класса систем, ненавидящих простои. Это книга ордеров и движок сопоставления, где миллисекунды имеют значение, а устаревшее состояние — яд. Это слой кошельков и кастодии, где подписывающая инфраструктура должна быть одновременно доступной и защищённой. И это потребительское приложение и API-граница, которую большинство розничных пользователей воспринимает как «сайт». Региональный сбой AWS может уронить любую из этих систем в зависимости от того, где живут зависимости: RDS, DynamoDB, S3, KMS, IAM — всё это.

Суть в следующем: если ваш горячий путь проходит через плоскость управления одного региона, у вас нет мульти-регионального решения. У вас есть мульти-региональный маркетинг. Настоящий active-active между регионами для финансовой платформы — это по-настоящему сложно. Нужна репликация состояния без конфликтов, детерминированная сортировка, ключевой материал, способный подписывать в нескольких местах без увольнения команды кастодии, и учения по аварийному переключению, которые вы реально проводили с живым трафиком. У большинства команд есть одно-два из перечисленного. Почти ни у кого нет всех четырёх.

Финансовая сторона имеет собственную анатомию. Убыток в $394 миллиона за квартал у платформы, чья выручка сильно завязана на объёмах розничной торговли и доходности стейблкоинов, говорит о хрупкости структуры. Торговые комиссии — цикличны, процентный доход — чувствителен к ставкам, а комиссии за кастодию — это медленная капля. Когда объёмы снижаются, а операционные расходы (юридические, комплаенс, инфраструктура) остаются постоянными, операционный рычаг работает в обратную сторону. Казино всё равно должно платить крупье, когда зал пуст.

Регуляторный фон не помогает. Любой, кто читал нормотворческий реестр SEC за последние два года, знает: расходы на комплаенс у американских бирж двигались только в одном направлении.

Кто пострадает

Начнём с собственной платформенной команды Coinbase. Убыток такого масштаба в сочетании с публичным инфраструктурным инцидентом — худший возможный контекст для следующего бюджетного цикла. От SRE-инженеров потребуют большего при меньших ресурсах именно в тот момент, когда нужно инвестировать в настоящую мульти-региональную устойчивость и желательно в bare-metal колокацию для чувствительных к задержкам компонентов. Все, кто пробовал договариваться о контракте на колокацию в период сокращения затрат, знают, как проходит этот разговор.

Далее — интеграторы. Каждая финтех-компания, необанк и платёжный сервис, использующий рельсы Coinbase по white-label для крипто-шлюзов, только что получил живую демонстрацию того, что их зависимость опирается на единственного облачного провайдера как на единственную точку отказа. Менеджеры по продуктам в этих компаниях следующие девяносто дней будут рисовать диаграммы зависимостей, которые следовало нарисовать год назад. Некоторые тихо добавят второй venue.

Затем — институциональные деск-трейдеры. Прайм-брокеры и маркет-мейкеры, работающие на Coinbase Prime, пережили сбой, через который не смогли торговать. Для маркет-мейкера простой — это не неудобство, это направленный риск, который он не выбирал принимать. Ожидайте более жёстких SLA-оговорок, более агрессивных требований к аварийному переключению и свежего взгляда на такие площадки, как Kraken, Bullish и офшорная ликвидность для хеджирующих позиций.

Протоколы DeFi тоже ощущают это, пусть и косвенно. Многие «децентрализованные» фронтенды тихо зависят от Coinbase Wallet SDK, нод под управлением Coinbase или инфраструктуры секвенсора Base. Когда у родителя тяжёлый квартал, дети получают меньше внимания. Base в особенности находится в неловком положении: L2, чей оператор только что сообщил рынку об убытке почти в четыреста миллионов долларов за три месяца. Разработчикам, строящим на Base, в этом месяце инвесторы будут задавать более жёсткие вопросы, чем в прошлом.

План действий для крипто и DeFi

Если вы CTO или руководитель платформы в этой сфере — вот то место, где всё рассыпается для команд, не уделяющих этому внимания. Несколько вещей, которые стоит сделать на этой неделе.

Честно проведите аудит радиуса облачного поражения. Не по архитектурной схеме, а по реальному рантайму. Выполните запрос: какие из наших критических путей завершаются в одном AWS-регионе? KMS-ключи, менеджеры секретов, основные базы данных, инфраструктура очередей. Если ответ — «большинство из них», вы в одном неудачном дне от собственного заголовка в стиле Coinbase.

Для бирж и кастодианов конкретно: внимательно изучите active-active как минимум через двух облачных провайдеров для пути чтения и как минимум warm-standby для пути записи. Это дорого. Но это дешевле, чем публичный сбой во время скачка волатильности, когда выстраиваются очереди ликвидаций.

Для команд DeFi это аргумент в пользу скучной дисциплины — децентрализованного RPC. Не выпускайте фронтенд, привязанный к единственной конечной точке Infura, Alchemy или Coinbase Cloud. Используйте роутер, предусмотрите цепочку отказов и рассмотрите запуск собственной ноды для горячего пути. Документация Ethereum о разнообразии клиентов существует по причине, которая только что получила подтверждение.

Риск контрагента на централизованных площадках заслуживает свежего взгляда. Если ваша казна хранится на одной бирже — разделите её. Если ваша торговая стратегия предполагает, что Coinbase всегда доступна — напишите регламент на случай, когда это не так. Вы только что получили бесплатную репетицию.

Ключевые выводы

• Coinbase сообщила об убытке в $394 млн за Q1 и о сбое, связанном с AWS, в одном квартале — два отдельных события, которые усиливают друг друга.
• Зависимость от облака одного региона остаётся неприглядным режимом отказа за большинством инцидентов «биржа упала», вне зависимости от того, насколько зрелой выглядит платформа на бумаге.
• Интеграторы, маркет-мейкеры и разработчики на Base несут последствия квартала Coinbase — хотели они такой экспозиции или нет.
• Настоящий active-active между регионами и провайдерами — сложно, дорого и всё менее опционально для любой платформы, работающей с кастодией или сопоставлением ордеров.
• Казино не может вечно винить электростанцию. Если ваш бизнес зависит от чужой сети — вы берёте на себя ответственность за сбой, когда свет гаснет.