如何防止數(shù)字貨幣交易所的資產(chǎn)被盜

360董事長(zhǎng)周鴻祎曾用毛主席的「地在人失，人地皆失。地失人在，人地皆得」來定義互聯(lián)網(wǎng)產(chǎn)品與用戶的關(guān)系，有了用戶就有收入，只關(guān)注收入失去了用戶，最后只會(huì)「人地皆失」。數(shù)字貨幣交易所同樣如此。

2018年12月，加拿大比特幣交易平臺(tái)「Quadriga CX」創(chuàng)始人、CEO拉爾德·科頓因旅行意外染病而逝世，隨之一起去世的還有這家交易所資產(chǎn)冷錢包私鑰，存儲(chǔ)在「Quadriga CX」近2億美元加密數(shù)字貨幣如石沉大海，無法提現(xiàn)。

2014年2月，比特幣交易商、承擔(dān)超過80%比特幣交易的Mt.Gox出現(xiàn)提現(xiàn)問題，一段時(shí)間后，Mt.Gox宣布暫停所有交易活動(dòng)，Mt.Gox網(wǎng)站只留下空白頁(yè)面。據(jù)當(dāng)時(shí)網(wǎng)絡(luò)流傳一份文件顯示，Mt.Gox合計(jì)丟失接近85萬個(gè)比特幣，包括Mt.Gox平臺(tái)自身10萬個(gè)比特幣，以及多年來被黑客盜取的744408個(gè)比特幣，85萬個(gè)比特幣占流通總量的7%。按當(dāng)時(shí)比特幣400美元均價(jià)計(jì)算，這波損失約在4.7億美元左右。

2012年3月和5月，黑客借助Bitcoinica交易所網(wǎng)絡(luò)服務(wù)器安全措施漏洞分別兩次進(jìn)行攻擊，盜走61000個(gè)比特幣，最終導(dǎo)致Bitcoinica破產(chǎn)。

一系列交易所被盜事件頻發(fā)，究其原因，「安全」問題迫在眉睫。如何在便捷交易同時(shí)，又能保證用戶數(shù)字資產(chǎn)安全？這是擺在每家交易所面前的重要課題。不僅要應(yīng)對(duì)外界黑客攻擊，還要注意場(chǎng)外做空、私鑰離奇丟失等事件。

傳統(tǒng)交易所一開始將交易所資產(chǎn)存儲(chǔ)在交易所熱錢包，黑客一旦攻破安全防線，幾乎所有數(shù)字資產(chǎn)被盜走。

隨著數(shù)字貨幣資產(chǎn)價(jià)值與日俱增，黑客們盜取數(shù)字資產(chǎn)動(dòng)力愈發(fā)增強(qiáng)。面對(duì)類似頻發(fā)事件交易所如何解決？

首先將數(shù)字貨幣分別存儲(chǔ)在冷熱兩類錢包，類似銀行準(zhǔn)備金制度，將數(shù)字資產(chǎn)儲(chǔ)存在不聯(lián)網(wǎng)冷錢包內(nèi)。而滿足日常交易所的數(shù)字資產(chǎn)存放在熱錢包里。比如2015年1月，黑客竊取Bitstamp熱錢包里的19000個(gè)比特幣并未影響該交易所的正常運(yùn)營(yíng)，因?yàn)锽itstamp90%幣都存儲(chǔ)在冷錢包里。

其次，交易所通過建立投資者保護(hù)基金方式來保障投資者的財(cái)產(chǎn)，2018年，火幣網(wǎng)發(fā)行全球通用積分HT，并計(jì)劃每個(gè)季度用收入20%用于流通市場(chǎng)回購(gòu)，回購(gòu)HT全部計(jì)提火幣投資者保護(hù)基金，用于平臺(tái)突發(fā)風(fēng)險(xiǎn)時(shí)對(duì)火幣用戶進(jìn)行先行賠付，保護(hù)投資者權(quán)益。2018年年底，火幣啟用投資者保護(hù)基金，對(duì)因COVA異常波動(dòng)受損的投資者進(jìn)行了賠付。

2018年7月，幣安宣布成立SAFU基金（Secure Asset Fund for Users，投資者保護(hù)基金），將用全部交易利潤(rùn)10%注入SAFU。該基金將充當(dāng)保險(xiǎn)，“在極端情況下為幣安用戶及其資產(chǎn)提供保護(hù)”。2019年5月，黑客利用安全漏洞在幣安熱錢包盜取了7000個(gè)比特幣，事件發(fā)生時(shí)價(jià)值約4000萬美元，幣安宣布使用SAFU基金全額支付這一事件，以保護(hù)用戶資金不受影響。

相比利用某個(gè)交易所的安全漏洞盜取數(shù)字資產(chǎn)，更大的威脅是利用交易所漏洞制造恐慌，并從中獲益。2018年3月7日，黑客利用幣安交易所漏洞，將賬戶中的各類數(shù)字貨幣交易成比特幣，導(dǎo)致市場(chǎng)中的散戶進(jìn)行恐慌性拋售。由于幣安在數(shù)字貨幣市場(chǎng)的巨大影響力，包括OKEx、火幣、Bitfinex、Upbit在內(nèi)的數(shù)字貨幣交易所的絕大多數(shù)幣種出現(xiàn)了大幅下跌，黑客則通過在這些交易所掛空單做空交易，獲得巨大利益。同時(shí)，黑客通過操縱賬號(hào)在1小時(shí)內(nèi)用1萬個(gè)比特幣拉爆了VIA（維爾幣），在其他交易所交易VIA獲益。最終僅僅是黑客僅僅在VIA幣種的獲益就超過4.2億元，而全球數(shù)字貨幣市值7小時(shí)內(nèi)蒸發(fā)了200億美元。

筆者整理2012年至今主要交易所安全事件，可以看出，安全是交易所長(zhǎng)期必須面對(duì)的問題。

每個(gè)企業(yè)在運(yùn)營(yíng)過程中必然會(huì)出現(xiàn)紕漏，面對(duì)問題，企業(yè)往往會(huì)有兩個(gè)解決方案，一個(gè)是采用一切手段掩蓋問題，逃避責(zé)任，比如在屢次出現(xiàn)因乘坐順風(fēng)車被害后，滴滴定義自己是撮合交易的平臺(tái)方，企圖甩鍋，最終引起眾怒，順風(fēng)車業(yè)務(wù)被下線，而有些企業(yè)選擇直面問題，充分與用戶溝通，比如今年滴滴，針對(duì)等候時(shí)間長(zhǎng)，車輛服務(wù)差的問題，做了兩次吐槽大會(huì)，在戲謔間向滴滴用戶講解了問題發(fā)生的原因以及滴滴正在嘗試的解決方案，收獲了良好的口碑。

交易所安全問題跟滴滴面對(duì)的問題如出一轍，出現(xiàn)安全問題后，有些交易所選擇規(guī)避，打著共渡難關(guān)的旗號(hào)，企圖讓用戶平攤損失，不僅犧牲了普通用戶資產(chǎn)，還損失用戶對(duì)交易所的信任。

2014年3月，剛營(yíng)業(yè)兩個(gè)月的Poloniex被黑客攻破了服務(wù)器，盜取了總資產(chǎn)的12.3%。Poloniex處理方式是：暫時(shí)把每個(gè)用戶余額里資產(chǎn)扣除12.3%，后續(xù)再恢復(fù)他們賬戶余額。

2016年6月，當(dāng)時(shí)全球最大的數(shù)字貨幣交易所Bitfinex被黑客盜走了119，756個(gè)比特幣，當(dāng)時(shí)值7200萬美元。諷刺的是Bitfinex為了提高交易所安全，對(duì)軟件進(jìn)行了升級(jí)，然而升級(jí)軟件卻存在漏洞，最終被黑客利用。Bitfinex采用了類似Poloniex的處理方式，由平臺(tái)上所有用戶共同承擔(dān)，即每個(gè)在Bitfinex擁有賬戶的用戶將會(huì)被扣除36.067%資金，不管這個(gè)賬戶的比特幣是否受到損失。同時(shí)，Bitfinex會(huì)給每位受損用戶相應(yīng)數(shù)量的BFX代幣，每個(gè)代幣能代替1美元（相當(dāng)于打欠條）。平臺(tái)會(huì)開放代幣的交易功能，未來可向Bitfinex全額贖回?fù)p失款項(xiàng)，也可選擇交換Bitfinex母公司iFinex的股票。即使所有用戶反對(duì)這一決定，但Bitfinex通過營(yíng)業(yè)額按月賠償客戶，逐步彌補(bǔ)虧空了，艱難的生存下來。

而有些交易所則直面問題，率先保障用戶的利益，并以此為契機(jī)，全面提升安全措施。

今年7月13日凌晨3點(diǎn)，多名用戶向抹茶MXC交易所的客服反饋出現(xiàn)丟幣的情況，抹茶團(tuán)隊(duì)連夜召開了線上會(huì)議，先排查事故原因，之后開始針對(duì)用戶的損失商討賠付方案。

經(jīng)過排查，被盜事件并非因技術(shù)攻擊造成，主要因黑客撞庫(kù)以及個(gè)別用戶被非法釣魚網(wǎng)站誤導(dǎo)，導(dǎo)致賬號(hào)泄露從而丟幣。

雖然這是因?yàn)橛脩舻陌踩庾R(shí)導(dǎo)致的安全問題，抹茶依然選擇全額賠付涉及事故的20余名用戶，共計(jì)超過100萬。

隨后抹茶交易所升級(jí)了安全措施，強(qiáng)制用戶綁定手機(jī)短信驗(yàn)證和谷歌驗(yàn)證。

抹茶還組建了一個(gè)由超過10年開發(fā)經(jīng)驗(yàn)的互聯(lián)網(wǎng)與區(qū)塊鏈技術(shù)專家牽頭的安全技術(shù)團(tuán)隊(duì)，并與成都鏈安Beosin、北京鏈安、知道創(chuàng)宇等頂尖安全機(jī)構(gòu)達(dá)成合作，在交易平臺(tái)安全、安全威脅情報(bào)、資金安全保護(hù)、項(xiàng)目態(tài)勢(shì)感知和安全風(fēng)控、安全咨詢和顧問、數(shù)字資產(chǎn)追溯和反洗錢等方面協(xié)助。

在安全機(jī)制方面，抹茶安全團(tuán)隊(duì)實(shí)現(xiàn)7*24小時(shí)實(shí)時(shí)監(jiān)控交易所異常行為，使用了「陷阱防御」系統(tǒng)，在黑客攻擊路徑上埋陷阱，及時(shí)發(fā)現(xiàn)黑客。并且與合作伙伴建立以周為單位的攻防演練機(jī)制，模擬黑客的DDoS攻擊、滲透入侵，提升抹茶交易所的安全能力，同時(shí)，隔離內(nèi)網(wǎng)重要服務(wù)器，建立權(quán)限控制、賬號(hào)權(quán)限回收等，防止過高權(quán)限導(dǎo)致信息泄漏，還建立各項(xiàng)審計(jì)和監(jiān)控，對(duì)日志進(jìn)行集中存放、處理、警告等。

360董事長(zhǎng)周鴻祎曾用毛主席的「地在人失，人地皆失。地失人在，人地皆得」來定義互聯(lián)網(wǎng)產(chǎn)品與用戶的關(guān)系，有了用戶就有收入，只關(guān)注收入失去了用戶，最后只會(huì)「人地皆失」。數(shù)字貨幣交易所同樣如此。

也許我們可以從對(duì)待用戶利益的態(tài)度上，來判斷一下這個(gè)交易所的未來。
來源： 碳鏈價(jià)值