交易所被盜事件頻發(fā)
首先,我們來回顧下近3年來重大的交易所被盜事件。簡單的數(shù)據(jù)背后,是交易者的資產(chǎn)的流失,內(nèi)心的崩潰和無助,是交易所從業(yè)者的輾轉(zhuǎn)難免和徹夜不眠的資產(chǎn)追蹤。交易所被盜事件一次次敲響行業(yè)監(jiān)管的警鐘,讓整個(gè)行業(yè)都談盜色變,為之深思。
2016年6月17日,區(qū)塊鏈?zhǔn)澜缱畲蟮谋娀I項(xiàng)目TheDAO被攻擊,導(dǎo)致以太坊硬分叉。
2016年8月4日,全球最大的數(shù)字資產(chǎn)交易平臺(tái)之一Bitfinex被盜了價(jià)值超過6000萬美元的BTC。
2017年04月22日,韓國比特幣交易平臺(tái)Yapizon被攻擊,被盜500萬美金的BTC。
2018年6月,韓國交易所Bithumb被盜,損失金額達(dá)到3000萬美金等值的各種加密貨幣。
2018年7月,去中心化交易所Bancor被盜,損失2300萬美元(主要是ETH)。
2019年1月15日,交易所Quadrigacx被盜,損失1.9億美元的BTC, ETH和CAD。
2019年7月12日,日本持牌加密貨幣交易所Bitpoint(BPJ)遭受黑客攻擊,預(yù)計(jì)損失了約35億日元(約合2.2億人民幣&約合3200萬美元)左右。它還受到央視財(cái)經(jīng)頻道的關(guān)注,午間央視財(cái)經(jīng)頻道《國際財(cái)經(jīng)報(bào)道》欄目報(bào)道了此次加密貨幣被盜事件。
去中心化交易所VS中心化交易所
談到區(qū)塊鏈,最大的特征就是去中心化。在這個(gè)去中心化的世界里,交易市場也和一般的交易市場有所不同,可根據(jù)去中心化程度分為去中心化交易所和中心化交易所。
去中心化交易所,即交易行為直接發(fā)生在區(qū)塊鏈上,數(shù)字貨幣會(huì)直接發(fā)回使用者的錢包,或是保存在區(qū)塊鏈上的智能合約。
這種鏈上交易的好處在于交易所不會(huì)持有用戶大量的數(shù)字貨幣,所有的數(shù)字貨幣會(huì)儲(chǔ)存在用戶的錢包或平臺(tái)的智能合約上。去中心化交易通過技術(shù)手段在信任層面去中心化,也可以說是無需信任,每筆交易都通過區(qū)塊鏈進(jìn)行公開透明,不負(fù)責(zé)保管用戶的資產(chǎn)和私鑰等信息,用戶資金的所有權(quán)完全在自己手上,具有非常好的個(gè)人數(shù)據(jù)安全和隱私性。
目前市面上的去中心化交易所有EtherDelta以德、KyberNetwork開博網(wǎng)絡(luò)等。
目前熱門的交易所大多是中心化交易所,即采用中心化技術(shù)的交易所。交易者需要先在交易所平臺(tái)完成注冊(cè),注冊(cè)過程中要經(jīng)過一連串的身份認(rèn)證程序(KYC),并審核通過后,才有交易的資格。
這類交易所的交易一般不會(huì)發(fā)生在區(qū)塊鏈上,可能僅是修改交易所數(shù)據(jù)庫內(nèi)的資產(chǎn)數(shù)字,用戶看到的只是賬面上數(shù)字的變化。交易所只要在用戶提款時(shí),準(zhǔn)備充足的數(shù)字貨幣可供匯出即可。當(dāng)前的主流交易大部分是在中心化交易所內(nèi)完成的,目前市面上的中心化交易所有幣安,火幣,OKEx 等。
那么如何判斷自己所用的交易所是中心化交易所還是去中心化交易所呢? 如果在注冊(cè)時(shí),使用了KYC身份認(rèn)證,這類大多數(shù)是中心化交易所。
不管是中心化交易所還是去中心化交易所,都出現(xiàn)過被盜取的安全事故。但是在信任機(jī)制上,去中心化交易所更有優(yōu)勢(shì)。它能用智能合約來實(shí)現(xiàn)去中心化去信任的交易機(jī)制,解決了中心化交易所人為因素產(chǎn)生的內(nèi)部運(yùn)營風(fēng)險(xiǎn)、商業(yè)道德風(fēng)險(xiǎn)、資產(chǎn)盜用等嚴(yán)重影響用戶資產(chǎn)安全的風(fēng)險(xiǎn)。但是在交易速度和交易深度上,中心化交易所因?yàn)榧夹g(shù)的成熟度,更有優(yōu)勢(shì)。
數(shù)字貨幣交易所如何被盜?
首先,我們要來看看數(shù)字貨幣的屬性。它的本質(zhì)是基于區(qū)塊鏈技術(shù),一種匿名化的資產(chǎn)。匿名體現(xiàn)在數(shù)字貨幣本身的傳輸就是通過代碼的方式,所以黑客在得手后套現(xiàn)或者進(jìn)行資產(chǎn)轉(zhuǎn)移,都具備難以查出的優(yōu)勢(shì),這種優(yōu)勢(shì)讓數(shù)字貨幣成為黑客眼中的肥肉。所以,只要黑客能攻破代碼,或者交易平臺(tái)出現(xiàn)了Bug, 黑客就能趁機(jī)盜取數(shù)字貨幣。
總結(jié)起來,其實(shí)可以大致分為三類:
平臺(tái)系統(tǒng)bug。區(qū)塊鏈技術(shù)的門檻很高,結(jié)合了密碼學(xué)、計(jì)算機(jī)、數(shù)學(xué)等科技。交易所不僅需要研發(fā)出交易平臺(tái),還需要做好一體化交易體驗(yàn),是非常大的技術(shù)挑戰(zhàn)。往往整個(gè)交易系統(tǒng)上的一個(gè)小小的bug就能讓黑客潛伏并攻破,盜取資產(chǎn)。
交易所熱錢包被盜, 比如Mt.Gox、比特兒、Bitstamp。熱錢包,是一種網(wǎng)絡(luò)連接的在線錢包,其原理是將私鑰加密后存儲(chǔ)在服務(wù)器上,當(dāng)需要使用時(shí)再從服務(wù)器上下載下來并在瀏覽器端進(jìn)行解密;由于聯(lián)網(wǎng)的原因,個(gè)人的電子設(shè)備有可能被黑客植入木馬用以盜取錢包文件、記錄錢包的口令或是破解加密私鑰,而錢包服務(wù)器也并非完全安全。
個(gè)人賬戶被盜,比如LocalBitcoins、幣安等。黑客的手段可謂是多種多樣,交易所和用戶防不勝防。
如何應(yīng)對(duì)交易所被盜事件
面對(duì)頻頻發(fā)生的交易所被盜事件,如何應(yīng)對(duì)呢?小編覺得可以從以下幾個(gè)角度進(jìn)行應(yīng)對(duì)。
交易所任重道遠(yuǎn)
作為數(shù)字貨幣食物鏈頂端的交易所,既然在此王位上,就要有一統(tǒng)江山的能力和決心。雖然這是一片商業(yè)藍(lán)海,但是隨著數(shù)字貨幣的普及和區(qū)塊鏈技術(shù)的發(fā)展,交易所的競爭也是愈演愈烈。交易所的從業(yè)者,特別是創(chuàng)始人和核心團(tuán)隊(duì),要直面監(jiān)管和技術(shù)的雙重挑戰(zhàn)。交易所一定要嚴(yán)格打磨技術(shù),并做好代碼審計(jì)、系統(tǒng)安全測(cè)試,多維度進(jìn)行風(fēng)險(xiǎn)漏洞測(cè)試來確保系統(tǒng)的安全,并且做好后補(bǔ)措施。畢竟,安全和信任才是交易所的第一生存之道。
一旦交易所發(fā)生安全事故,交易所需要迅速通過技術(shù)手段分析地址和資金走向,并且根據(jù)第一時(shí)間凍結(jié)資產(chǎn),減少損失。
交易所也可以著手在社群進(jìn)行技術(shù)普及,讓更多的用戶了解區(qū)塊鏈的原理、交易規(guī)則和交易安全法則。交易所也可以做好用戶教育,培養(yǎng)用戶的風(fēng)險(xiǎn)意識(shí),及時(shí)進(jìn)行信息互通。
除此以外,交易所從業(yè)者,特別是創(chuàng)始人,更應(yīng)該加強(qiáng)社會(huì)責(zé)任感。不能因?yàn)樽约旱乃接?,就轉(zhuǎn)移或者盜取資產(chǎn),自己主導(dǎo)上演交易所被盜的戲碼。這樣不僅會(huì)給用戶造成巨大的資金損失,也會(huì)給整個(gè)行業(yè)帶來惡劣的負(fù)面影響。
交易者,小心駛得萬年船
作為交易者,需要樹立好安全意識(shí)和防范意識(shí),特別是要謹(jǐn)記交易規(guī)則,嚴(yán)格按照步驟進(jìn)行。交易千萬條,安全第一條。交易不規(guī)范,內(nèi)心兩行淚。作為交易者,不能在發(fā)現(xiàn)安全問題之后再去追蹤可以資金,而是必須時(shí)刻掌握保護(hù)安全資產(chǎn)的主動(dòng)權(quán)。有如下幾點(diǎn),交易者是很容易掌握而且操作的。
關(guān)于密碼:個(gè)人電腦一定要設(shè)置密碼,且不要設(shè)置的過于簡單,安裝殺毒軟件和防火墻。要定期修改并牢記交易所登錄密碼,盡量避免用之前使用過的密碼,不要在不同網(wǎng)站使用相同密碼。在某個(gè)交易平臺(tái)設(shè)置的密碼不要在其它平臺(tái)上使用,可能由于其他平臺(tái)存在安全問題導(dǎo)致密碼泄露。
關(guān)于私鑰:建議在離線電腦中生成私鑰,并保證私鑰永遠(yuǎn)不出現(xiàn)在網(wǎng)絡(luò)上,私鑰只有你自己一人掌握。助記詞,建議抄寫在紙上,并妥善保管。該助記詞只要被盜,就能輕而易舉被人重新導(dǎo)入錢包,設(shè)置密碼,盜取錢包里面的資產(chǎn)。
關(guān)于資產(chǎn)存儲(chǔ):考慮到交易所的被盜情況,資產(chǎn)不要存在交易所,需要交易的時(shí)候再轉(zhuǎn)入,交易完成后立即轉(zhuǎn)出。如果你只有一臺(tái)電腦,那么可以考慮安裝虛擬機(jī)來保護(hù)比特幣錢包,一個(gè)操作系統(tǒng)用來安裝熱錢包,一個(gè)操作系統(tǒng)用來使用冷錢包??梢园讶粘=灰椎臄?shù)字貨幣放在熱錢包,把資產(chǎn)存儲(chǔ)放在冷錢包。
協(xié)會(huì)或聯(lián)盟監(jiān)管
加密貨幣行業(yè)應(yīng)該建立去中心化的管理組織,參與群體包括媒體、安全公司、交易所等。區(qū)塊鏈行業(yè)可以選擇成立協(xié)會(huì)或者聯(lián)盟來進(jìn)行自我監(jiān)管,規(guī)范行業(yè)內(nèi)部的公司;在這個(gè)過程中,可以將一些較為成熟的建議提供給監(jiān)管機(jī)構(gòu),為監(jiān)管政策的制定提供依據(jù),這就有利于區(qū)塊鏈行業(yè)的發(fā)展。
后記
數(shù)字貨幣目前還只是出于早期發(fā)展階段,交易所,作為數(shù)字貨幣食物鏈的頂端王者,它的安全關(guān)乎著數(shù)字貨幣的生命周期和行業(yè)發(fā)展。行業(yè)的安全發(fā)展,離不了技術(shù)開發(fā)者的不斷努力,安全工作者的監(jiān)測(cè)守護(hù)和交易所從業(yè)者的強(qiáng)烈社會(huì)責(zé)任感。
區(qū)塊鏈從業(yè)者需要共同維護(hù)數(shù)字貨幣安全,任道而重遠(yuǎn)。
京公網(wǎng)安備 11010502049343號(hào)