360董事长周鸿祎曾用毛主席的「地在人失,人地皆失。地失人在,人地皆得」来定义互联网产品与用户的关系,有了用户就有收入,只关注收入失去了用户,最后只会「人地皆失」。数字货币交易所同样如此。
2018年12月,加拿大比特币交易平台「Quadriga CX」创始人、CEO拉尔德·科顿因旅行意外染病而逝世,随之一起去世的还有这家交易所资产冷钱包私钥,存储在「Quadriga CX」近2亿美元加密数字货币如石沉大海,无法提现。
2014年2月,比特币交易商、承担超过80%比特币交易的Mt.Gox出现提现问题,一段时间后,Mt.Gox宣布暂停所有交易活动,Mt.Gox网站只留下空白页面。据当时网络流传一份文件显示,Mt.Gox合计丢失接近85万个比特币,包括Mt.Gox平台自身10万个比特币,以及多年来被黑客盗取的744408个比特币,85万个比特币占流通总量的7%。按当时比特币400美元均价计算,这波损失约在4.7亿美元左右。
2012年3月和5月,黑客借助Bitcoinica交易所网络服务器安全措施漏洞分别两次进行攻击,盗走61000个比特币,最终导致Bitcoinica破产。
一系列交易所被盗事件频发,究其原因,「安全」问题迫在眉睫。如何在便捷交易同时,又能保证用户数字资产安全?这是摆在每家交易所面前的重要课题。不仅要应对外界黑客攻击,还要注意场外做空、私钥离奇丢失等事件。
传统交易所一开始将交易所资产存储在交易所热钱包,黑客一旦攻破安全防线,几乎所有数字资产被盗走。
随着数字货币资产价值与日俱增,黑客们盗取数字资产动力愈发增强。面对类似频发事件交易所如何解决?
首先将数字货币分别存储在冷热两类钱包,类似银行准备金制度,将数字资产储存在不联网冷钱包内。而满足日常交易所的数字资产存放在热钱包里。比如2015年1月,黑客窃取Bitstamp热钱包里的19000个比特币并未影响该交易所的正常运营,因为Bitstamp90%币都存储在冷钱包里。
其次,交易所通过建立投资者保护基金方式来保障投资者的财产,2018年,火币网发行全球通用积分HT,并计划每个季度用收入20%用于流通市场回购,回购HT全部计提火币投资者保护基金,用于平台突发风险时对火币用户进行先行赔付,保护投资者权益。2018年年底,火币启用投资者保护基金,对因COVA异常波动受损的投资者进行了赔付。
2018年7月,币安宣布成立SAFU基金(Secure Asset Fund for Users,投资者保护基金),将用全部交易利润10%注入SAFU。该基金将充当保险,“在极端情况下为币安用户及其资产提供保护”。2019年5月,黑客利用安全漏洞在币安热钱包盗取了7000个比特币,事件发生时价值约4000万美元,币安宣布使用SAFU基金全额支付这一事件,以保护用户资金不受影响。
相比利用某个交易所的安全漏洞盗取数字资产,更大的威胁是利用交易所漏洞制造恐慌,并从中获益。2018年3月7日,黑客利用币安交易所漏洞,将账户中的各类数字货币交易成比特币,导致市场中的散户进行恐慌性抛售。由于币安在数字货币市场的巨大影响力,包括OKEx、火币、Bitfinex、Upbit在内的数字货币交易所的绝大多数币种出现了大幅下跌,黑客则通过在这些交易所挂空单做空交易,获得巨大利益。同时,黑客通过操纵账号在1小时内用1万个比特币拉爆了VIA(维尔币),在其他交易所交易VIA获益。最终仅仅是黑客仅仅在VIA币种的获益就超过4.2亿元,而全球数字货币市值7小时内蒸发了200亿美元。
笔者整理2012年至今主要交易所安全事件,可以看出,安全是交易所长期必须面对的问题。
每个企业在运营过程中必然会出现纰漏,面对问题,企业往往会有两个解决方案,一个是采用一切手段掩盖问题,逃避责任,比如在屡次出现因乘坐顺风车被害后,滴滴定义自己是撮合交易的平台方,企图甩锅,最终引起众怒,顺风车业务被下线,而有些企业选择直面问题,充分与用户沟通,比如今年滴滴,针对等候时间长,车辆服务差的问题,做了两次吐槽大会,在戏谑间向滴滴用户讲解了问题发生的原因以及滴滴正在尝试的解决方案,收获了良好的口碑。
交易所安全问题跟滴滴面对的问题如出一辙,出现安全问题后,有些交易所选择规避,打着共渡难关的旗号,企图让用户平摊损失,不仅牺牲了普通用户资产,还损失用户对交易所的信任。
2014年3月,刚营业两个月的Poloniex被黑客攻破了服务器,盗取了总资产的12.3%。Poloniex处理方式是:暂时把每个用户余额里资产扣除12.3%,后续再恢复他们账户余额。
2016年6月,当时全球最大的数字货币交易所Bitfinex被黑客盗走了119,756个比特币,当时值7200万美元。讽刺的是Bitfinex为了提高交易所安全,对软件进行了升级,然而升级软件却存在漏洞,最终被黑客利用。Bitfinex采用了类似Poloniex的处理方式,由平台上所有用户共同承担,即每个在Bitfinex拥有账户的用户将会被扣除36.067%资金,不管这个账户的比特币是否受到损失。同时,Bitfinex会给每位受损用户相应数量的BFX代币,每个代币能代替1美元(相当于打欠条)。平台会开放代币的交易功能,未来可向Bitfinex全额赎回损失款项,也可选择交换Bitfinex母公司iFinex的股票。即使所有用户反对这一决定,但Bitfinex通过营业额按月赔偿客户,逐步弥补亏空了,艰难的生存下来。
而有些交易所则直面问题,率先保障用户的利益,并以此为契机,全面提升安全措施。
今年7月13日凌晨3点,多名用户向抹茶MXC交易所的客服反馈出现丢币的情况,抹茶团队连夜召开了线上会议,先排查事故原因,之后开始针对用户的损失商讨赔付方案。
经过排查,被盗事件并非因技术攻击造成,主要因黑客撞库以及个别用户被非法钓鱼网站误导,导致账号泄露从而丢币。
虽然这是因为用户的安全意识导致的安全问题,抹茶依然选择全额赔付涉及事故的20余名用户,共计超过100万。
随后抹茶交易所升级了安全措施,强制用户绑定手机短信验证和谷歌验证。
抹茶还组建了一个由超过10年开发经验的互联网与区块链技术专家牵头的安全技术团队,并与成都链安Beosin、北京链安、知道创宇等顶尖安全机构达成合作,在交易平台安全、安全威胁情报、资金安全保护、项目态势感知和安全风控、安全咨询和顾问、数字资产追溯和反洗钱等方面协助。
在安全机制方面,抹茶安全团队实现7*24小时实时监控交易所异常行为,使用了「陷阱防御」系统,在黑客攻击路径上埋陷阱,及时发现黑客。并且与合作伙伴建立以周为单位的攻防演练机制,模拟黑客的DDoS攻击、渗透入侵,提升抹茶交易所的安全能力,同时,隔离内网重要服务器,建立权限控制、账号权限回收等,防止过高权限导致信息泄漏,还建立各项审计和监控,对日志进行集中存放、处理、警告等。
360董事长周鸿祎曾用毛主席的「地在人失,人地皆失。地失人在,人地皆得」来定义互联网产品与用户的关系,有了用户就有收入,只关注收入失去了用户,最后只会「人地皆失」。数字货币交易所同样如此。
也许我们可以从对待用户利益的态度上,来判断一下这个交易所的未来。