CEX 撮合引擎 + 冷/热钱包内部架构

Wiki route

This entry sits under exchanges index. Read it against 国内 VASP 冷存储 95% + 分别管理制度 for peer / contrast context and Fsa VASP Registration System for the broader system / regulatory boundary.

CEX 的核心 = 撮合引擎（matching engine，订单簿撮合引擎）。设计思路大致分为 3 种：

CLOB（Central Limit Order Book，中央限价订单簿） — 业界标准。按价格、时间撮合买单与卖单。从 NYSE / NASDAQ 沿用至 CEX
RFQ（Request for Quote，询价） — 以机构 OTC 为主。请求 bid/ask 报价 → 个别成交
AMM-like — DEX 系。AMM 是 CEX 撮合的替代设计（参见 amm-design-evolution）

CEX（Binance / Coinbase / bitFlyer / 国内全部公司）以 CLOB 为基础。机构大额交易另行由 OTC desk 以 RFQ 处理。

要素	内容
FIFO（First-In First-Out，先进先出）	同价格按时间优先成交
price-time priority（价格-时间优先）	价格优先 + 时间优先的 2 段撮合
iceberg orders（冰山单）	将大单分拆显示以抑制 market impact
post-only / IOC / FOK	订单类型（maker only / Immediate-or-Cancel / Fill-or-Kill）
co-location	面向机构 HFT 的低延迟接入（NYSE / Binance VIP）

代表性实现：NYSE / Binance / Coinbase / dYdX v4 （Cosmos appchain）。dYdX v4 将 CLOB 实现于链上 validator 之上，尝试融合 CEX 性能与 DEX 透明度。

机构 OTC（Cumberland / B2C2 / FalconX / Genesis（已破产））采用的不是 CLOB 而是 RFQ 方式：

国内 OTC：bitFlyer / Coincheck 以”贩卖所”名义向一般客户提供类似功能（参见 jp-cex-sales-vs-exchange-model-economics）。

基于国内 VASP 义务（jp-vasp-cold-storage-segregation-rules）的 3 层构成：

Coincheck 2018 NEM 580 億円事件是”实质热 100%“的结果（coincheck-nem-hack-detailed-analysis）。该事件后的监管强化使 3 层分离在国内成为义务。

技术	代表供应商	角色
multi-sig	Gnosis Safe（现 Safe）	标准 2-of-3 签名阈值 · 智能合约基础
HSM	Thales / Utimaco / Ledger Vault	硬件加密模块 · FIPS 140-2/3 认证
MPC	Fireblocks / Fordefi / Sepior	密钥分散 · 排除 single point of failure
air-gap signing（气隙签名）	Casa / Anchorage	完全离线签名 · 不连网
沙米尔秘密共享（Shamir’s Secret Sharing）	众多	私钥的阈值分散（k-of-n）

CEX 实现示例：

2025 Bybit Lazarus hack（bybit-lazarus-hack-detailed-analysis）是以 Safe UI 伪装欺骗 multi-sig 签名者的社会工程攻击。技术本身运作正常，但 UI 层的脆弱性暴露，重新认识到 air-gap + 硬件确认的重要性。详细取证手法请并读 bytecode forensic 3-tier verify 与 forensic identity anchor chain。供应链攻击的结构分析参见 module path confusion supply chain attack。

来源：业界一般知识 + Binance / Coinbase tech blog + Gnosis Safe docs + Fireblocks whitepaper + Anchorage 公告。