360董事長周鴻祎曾用毛主席的「地在人失,人地皆失。地失人在,人地皆得」來定義互聯(lián)網(wǎng)產(chǎn)品與用戶的關系,有了用戶就有收入,只關注收入失去了用戶,最后只會「人地皆失」。數(shù)字貨幣交易所同樣如此。
2018年12月,加拿大比特幣交易平臺「Quadriga CX」創(chuàng)始人、CEO拉爾德·科頓因旅行意外染病而逝世,隨之一起去世的還有這家交易所資產(chǎn)冷錢包私鑰,存儲在「Quadriga CX」近2億美元加密數(shù)字貨幣如石沉大海,無法提現(xiàn)。
2014年2月,比特幣交易商、承擔超過80%比特幣交易的Mt.Gox出現(xiàn)提現(xiàn)問題,一段時間后,Mt.Gox宣布暫停所有交易活動,Mt.Gox網(wǎng)站只留下空白頁面。據(jù)當時網(wǎng)絡流傳一份文件顯示,Mt.Gox合計丟失接近85萬個比特幣,包括Mt.Gox平臺自身10萬個比特幣,以及多年來被黑客盜取的744408個比特幣,85萬個比特幣占流通總量的7%。按當時比特幣400美元均價計算,這波損失約在4.7億美元左右。
2012年3月和5月,黑客借助Bitcoinica交易所網(wǎng)絡服務器安全措施漏洞分別兩次進行攻擊,盜走61000個比特幣,最終導致Bitcoinica破產(chǎn)。
一系列交易所被盜事件頻發(fā),究其原因,「安全」問題迫在眉睫。如何在便捷交易同時,又能保證用戶數(shù)字資產(chǎn)安全?這是擺在每家交易所面前的重要課題。不僅要應對外界黑客攻擊,還要注意場外做空、私鑰離奇丟失等事件。
傳統(tǒng)交易所一開始將交易所資產(chǎn)存儲在交易所熱錢包,黑客一旦攻破安全防線,幾乎所有數(shù)字資產(chǎn)被盜走。
隨著數(shù)字貨幣資產(chǎn)價值與日俱增,黑客們盜取數(shù)字資產(chǎn)動力愈發(fā)增強。面對類似頻發(fā)事件交易所如何解決?
首先將數(shù)字貨幣分別存儲在冷熱兩類錢包,類似銀行準備金制度,將數(shù)字資產(chǎn)儲存在不聯(lián)網(wǎng)冷錢包內。而滿足日常交易所的數(shù)字資產(chǎn)存放在熱錢包里。比如2015年1月,黑客竊取Bitstamp熱錢包里的19000個比特幣并未影響該交易所的正常運營,因為Bitstamp90%幣都存儲在冷錢包里。
其次,交易所通過建立投資者保護基金方式來保障投資者的財產(chǎn),2018年,火幣網(wǎng)發(fā)行全球通用積分HT,并計劃每個季度用收入20%用于流通市場回購,回購HT全部計提火幣投資者保護基金,用于平臺突發(fā)風險時對火幣用戶進行先行賠付,保護投資者權益。2018年年底,火幣啟用投資者保護基金,對因COVA異常波動受損的投資者進行了賠付。
2018年7月,幣安宣布成立SAFU基金(Secure Asset Fund for Users,投資者保護基金),將用全部交易利潤10%注入SAFU。該基金將充當保險,“在極端情況下為幣安用戶及其資產(chǎn)提供保護”。2019年5月,黑客利用安全漏洞在幣安熱錢包盜取了7000個比特幣,事件發(fā)生時價值約4000萬美元,幣安宣布使用SAFU基金全額支付這一事件,以保護用戶資金不受影響。
相比利用某個交易所的安全漏洞盜取數(shù)字資產(chǎn),更大的威脅是利用交易所漏洞制造恐慌,并從中獲益。2018年3月7日,黑客利用幣安交易所漏洞,將賬戶中的各類數(shù)字貨幣交易成比特幣,導致市場中的散戶進行恐慌性拋售。由于幣安在數(shù)字貨幣市場的巨大影響力,包括OKEx、火幣、Bitfinex、Upbit在內的數(shù)字貨幣交易所的絕大多數(shù)幣種出現(xiàn)了大幅下跌,黑客則通過在這些交易所掛空單做空交易,獲得巨大利益。同時,黑客通過操縱賬號在1小時內用1萬個比特幣拉爆了VIA(維爾幣),在其他交易所交易VIA獲益。最終僅僅是黑客僅僅在VIA幣種的獲益就超過4.2億元,而全球數(shù)字貨幣市值7小時內蒸發(fā)了200億美元。
筆者整理2012年至今主要交易所安全事件,可以看出,安全是交易所長期必須面對的問題。
每個企業(yè)在運營過程中必然會出現(xiàn)紕漏,面對問題,企業(yè)往往會有兩個解決方案,一個是采用一切手段掩蓋問題,逃避責任,比如在屢次出現(xiàn)因乘坐順風車被害后,滴滴定義自己是撮合交易的平臺方,企圖甩鍋,最終引起眾怒,順風車業(yè)務被下線,而有些企業(yè)選擇直面問題,充分與用戶溝通,比如今年滴滴,針對等候時間長,車輛服務差的問題,做了兩次吐槽大會,在戲謔間向滴滴用戶講解了問題發(fā)生的原因以及滴滴正在嘗試的解決方案,收獲了良好的口碑。
交易所安全問題跟滴滴面對的問題如出一轍,出現(xiàn)安全問題后,有些交易所選擇規(guī)避,打著共渡難關的旗號,企圖讓用戶平攤損失,不僅犧牲了普通用戶資產(chǎn),還損失用戶對交易所的信任。
2014年3月,剛營業(yè)兩個月的Poloniex被黑客攻破了服務器,盜取了總資產(chǎn)的12.3%。Poloniex處理方式是:暫時把每個用戶余額里資產(chǎn)扣除12.3%,后續(xù)再恢復他們賬戶余額。
2016年6月,當時全球最大的數(shù)字貨幣交易所Bitfinex被黑客盜走了119,756個比特幣,當時值7200萬美元。諷刺的是Bitfinex為了提高交易所安全,對軟件進行了升級,然而升級軟件卻存在漏洞,最終被黑客利用。Bitfinex采用了類似Poloniex的處理方式,由平臺上所有用戶共同承擔,即每個在Bitfinex擁有賬戶的用戶將會被扣除36.067%資金,不管這個賬戶的比特幣是否受到損失。同時,Bitfinex會給每位受損用戶相應數(shù)量的BFX代幣,每個代幣能代替1美元(相當于打欠條)。平臺會開放代幣的交易功能,未來可向Bitfinex全額贖回損失款項,也可選擇交換Bitfinex母公司iFinex的股票。即使所有用戶反對這一決定,但Bitfinex通過營業(yè)額按月賠償客戶,逐步彌補虧空了,艱難的生存下來。
而有些交易所則直面問題,率先保障用戶的利益,并以此為契機,全面提升安全措施。
今年7月13日凌晨3點,多名用戶向抹茶MXC交易所的客服反饋出現(xiàn)丟幣的情況,抹茶團隊連夜召開了線上會議,先排查事故原因,之后開始針對用戶的損失商討賠付方案。
經(jīng)過排查,被盜事件并非因技術攻擊造成,主要因黑客撞庫以及個別用戶被非法釣魚網(wǎng)站誤導,導致賬號泄露從而丟幣。
雖然這是因為用戶的安全意識導致的安全問題,抹茶依然選擇全額賠付涉及事故的20余名用戶,共計超過100萬。
隨后抹茶交易所升級了安全措施,強制用戶綁定手機短信驗證和谷歌驗證。
抹茶還組建了一個由超過10年開發(fā)經(jīng)驗的互聯(lián)網(wǎng)與區(qū)塊鏈技術專家牽頭的安全技術團隊,并與成都鏈安Beosin、北京鏈安、知道創(chuàng)宇等頂尖安全機構達成合作,在交易平臺安全、安全威脅情報、資金安全保護、項目態(tài)勢感知和安全風控、安全咨詢和顧問、數(shù)字資產(chǎn)追溯和反洗錢等方面協(xié)助。
在安全機制方面,抹茶安全團隊實現(xiàn)7*24小時實時監(jiān)控交易所異常行為,使用了「陷阱防御」系統(tǒng),在黑客攻擊路徑上埋陷阱,及時發(fā)現(xiàn)黑客。并且與合作伙伴建立以周為單位的攻防演練機制,模擬黑客的DDoS攻擊、滲透入侵,提升抹茶交易所的安全能力,同時,隔離內網(wǎng)重要服務器,建立權限控制、賬號權限回收等,防止過高權限導致信息泄漏,還建立各項審計和監(jiān)控,對日志進行集中存放、處理、警告等。
360董事長周鴻祎曾用毛主席的「地在人失,人地皆失。地失人在,人地皆得」來定義互聯(lián)網(wǎng)產(chǎn)品與用戶的關系,有了用戶就有收入,只關注收入失去了用戶,最后只會「人地皆失」。數(shù)字貨幣交易所同樣如此。
也許我們可以從對待用戶利益的態(tài)度上,來判斷一下這個交易所的未來。
來源: 碳鏈價值