2025年9月11日,SEC和SDNY对Two Sigma Investments前高级量化研究员Jian Wu提起平行的民事和刑事诉讼。Wu据称在近两年时间里操纵了至少14个实盘交易模型,造成1.65亿美元客户损失,同时个人获得约2300万美元的虚增报酬。
关键要点: Two Sigma事件表明,基于信任的审计系统无法跟上AI驱动交易的步伐。VCP v1.1的"验证,不要信任"架构提供密码学保证,可以在数分钟而非数年内检测Wu的操纵。
1. Two Sigma欺诈解剖
1.1 相关方和时间线
Two Sigma Investments LP是全球最大的量化对冲基金之一,管理超过600亿美元资产。使用复杂的计算机算法模型分析数据并生成投资预测。
Jian Wu(34岁,中国国籍,美国永久居民)在Two Sigma担任高级量化研究员和投资组合经理。根据SEC诉状,Wu开发或共同开发了至少14个投资模型,并部署到实盘交易中。
失败年表
员工向高级管理层警告celFS数据库漏洞
高级工程师再次提出访问控制风险
员工意外覆盖模型参数,暴露漏洞
实施部分访问限制(不充分)
终于实施全面数据库监控 — 检测到Wu并将其解雇
Two Sigma与SEC以9000万美元和解
对Wu提起刑事和民事诉讼
1.2 欺诈的技术机制
Two Sigma的投资模型被设计为生成去相关预测——每个模型应该提供独立的独特预测,为投资组合贡献不同的alpha。
celFS漏洞: 模型参数存储在名为celFS的二级数据库中,存在致命缺陷:多名员工拥有不受限制的读写访问权限。
Wu的操纵技术: Wu通过直接修改存储在celFS中的"去相关参数"来利用这一漏洞。他将这些值降低到接近零,导致他的模型本质上复制其他Two Sigma模型的预测,而不是生成独立预测。
1.3 财务影响
| 类别 | 金额 |
|---|---|
| 客户损失(SMA) | 1.65亿美元 |
| 其他账户(超额收益) | 4亿美元 |
| Wu的虚增报酬(2022年) | 约2300万美元 |
| SEC罚款(Two Sigma) | 9000万美元 |
| 自愿客户补偿 | 1.65亿美元 |
| 刑事指控(Wu) | 最高60年 |
2. 传统审计日志失败的原因
传统数据库日志存在严重局限性:
- 内部管理: 服务器日志由被审计的同一实体存储和管理。不存在独立验证机制。
- 无防篡改证据: 标准日志不提供条目未被事后更改的密码学证明。
- 无完整性保证: 传统日志无法证明所有相关事件都被记录。
- 单方依赖: 审计追踪仅存在于Two Sigma系统内部。
3. VCP v1.1:架构概述
3.1 设计理念:"验证,不要信任"
| 传统方法 | VCP方法 |
|---|---|
| "相信我们的记录" | "验证我们的证明" |
| 内部审计日志 | 密码学承诺 |
| 定期合规审查 | 实时完整性验证 |
| 单方记录保存 | 多方复制 |
| 事后调查 | 即时异常检测 |
3.2 三层完整性架构
外部锚定到区块链/TSA,无需信任日志生成者即可进行第三方验证
RFC 6962 Merkle树提供批次级完整性保证和遗漏攻击检测
SHA-256哈希链用于每事件防篡改检测 + Ed25519数字签名用于真实性
4. 第1层:事件完整性——检测参数操纵
无VCP情况: Wu将参数值从0.85修改为0.02,数据库接受更改,原始值无密码学记录,检测需要手动发现或运气。
有VCP第1层情况: 原始参数(0.85)用哈希h_original记录在事件中,Wu尝试修改为0.02会创建h_modified ≠ h_original的新事件,哈希链立即显示不一致,检测即时且自动。
5. 第2层:集合完整性——防止遗漏攻击
哈希链可以检测现有事件的篡改,但无法检测事件是否从一开始就未被记录。VCP v1.1通过Merkle树解决这一问题。如果事件被遗漏,生成的Merkle根将不同。遗漏可被密码学检测。
6. 第3层:外部可验证性——无需信任的第三方验证
VCP v1.1要求将Merkle根锚定到外部不可变系统(Bitcoin、Ethereum、RFC 3161 TSA)。Wu无法更改区块链记录。事后操纵在数学上不可能。
7. VCP-GOV:密码学模型治理
Two Sigma事件暴露了一个特定漏洞:模型参数可以在没有密码学验证的情况下被修改。
"Wu也通过Two Sigma的正式审批流程提交了其中一些更改的请求。但他知道这个流程不涉及真正的审查或质疑。"— SEC诉状
如果Two Sigma实施了VCP-GOV:
- Wu的原始模型(
decorrelation_value: 0.85)获得批准 ModelHash_approved = sha256:abc123...- Wu将
decorrelation_value修改为0.02 ModelHash_modified = sha256:def456...(完全不同)- 运行时,VCP-GOV记录
ModelHash_modified - 自动比较:
ModelHash_modified ∉ ApprovedModelRegistry - 立即生成警报
8. 监管合规映射
| 法规 | 要求 | VCP实现 |
|---|---|---|
| MiFID II RTS 25 | 时间戳精度(HFT≤100µs) | ClockSyncStatus字段的PTP/NTP证明 |
| EU AI Act第12条 | 防篡改自动日志 | SHA-256哈希链 + Merkle树 + 外部锚定 |
| SEC规则17a-4 | 审计追踪替代路径 | 用于可验证完整性的Merkle证明 |
| SEC AI工作组 | 模型治理和验证 | VCP-GOV ModelHash验证 |
9. 历史案例比较
| 事件 | 损失 | 检测时间 | VCP检测估计 |
|---|---|---|---|
| Two Sigma (2025) | 客户1.65亿$ + 罚款9000万$ | 4年 | 数分钟 |
| 闪崩 (2010) | ~1万亿$(暂时) | 调查5个月 | 数小时 |
| AXA Rosenberg (2011) | 和解2.42亿$ | 2年以上 | 数天 |
| UBS Adoboli (2011) | 23亿$ | 3年 | 数天至数周 |
10. 结论:从信任到验证的范式转变
Two Sigma案件教给我们什么
- 基于信任的系统在规模上会失败: Two Sigma拥有世界级的技术和合规资源,却未能在近两年内检测到操纵。
- 内部控制不充分: celFS漏洞自2019年就已知,但直到2023年才解决。
- 激励错位驱动欺诈: 当报酬直接与模型表现挂钩时,操纵的激励是内在的。
Two Sigma事件导致1.65亿美元的直接客户损失、9000万美元的监管罚款、最高60年监禁的刑事指控,以及无法估量的声誉损害。
所有这些都可以通过适当的密码学审计基础设施来预防。 VCP v1.1以开放许可免费提供。问题不是密码学审计追踪是否会成为标准,而是您的公司是在下一次事件之前还是之后采用它。
"验证,不要信任" — VeritasChain Standards Organization
技术资源
- VCP v1.1规范: veritaschain.org/vcp/
- IETF草案: draft-kamimura-scitt-vcp
- GitHub: github.com/veritaschain
文档信息
| 文档ID | VSO-BLOG-2026-003 |
| 版本 | 1.0 |
| 日期 | 2026年1月30日 |
| 作者 | VSO技术委员会 |
| 许可证 | CC BY 4.0 |