币圈是一个来钱特别快的场子,一个又一个暴富的例子让很多人看红了眼;币圈也是一个乱象丛生的竞技场,但是“乱”同时也意味着“机会”,而且“机会”与“风口”面前挤满了人。
交易所作为“币圈资金三角洲”,汇集了巨鲸、项目方、韭菜等各色参与者,其中也包括黑客——交易所的超级克星。
01.黑客攻击,后患无穷
本月7日,原本平静的币圈迎来了久违的热闹场面,很多人钻进了一个名叫“FIND YOURBINANCE KYC”的电报群,围观一个叫Guardian M的用户直播疑似从币安泄露的用户KYC资料。下面是整个事件时间列表:
l 5月8日,币安热钱包被黑客盗取7000枚BTC,约合4100多万美元。币安官方发公告表示,交易所发现大规模安全漏洞,黑客获取了大量用户API密钥、谷歌验证2FA代码以及其他信息,从而进行提款操作。
l 8月6日,大量用户表示接到了自称是火币、币安等平台的客服的电话,要求加微信,会有老师指导炒币。经证实,这是冒充交易所的行骗电话,但信息泄露源头不可知。
l 8月7日以及14日,分别有名叫Guardian M和GuardianJ的黑客在电报群直播所谓的币安用户KYC资料。
l 此外,据The Block报道,8月3日左右,有黑客在暗网出售火币用户电话信息,每条售价0.3美元。并且卖家表示“信息绝对真实”,除火币外,还有Biki、Hetbi、ZDCoin等交易所的用户信息。(火币发言人表示,信息是被第三方信息提供商劫持的)
l 之后,有媒体曝光,黑客与币安工作人员早在7月份就曾就“疑似币安泄露的用户信息”进行过谈判,结果以失败告终。
币安KYC只是大大小小交易所安全事件中的一个例子,而仅仅这样一个例子,我们就能很好地感受到交易所对于黑客的忌惮。交易所是很害怕受到黑客攻击的,害怕但是难以避免。
一方面,黑客攻击几乎不可避免意味着资金损失。例如此次事件,币安单方面承担了约4100万美金的损失。相比于“赔得起”的头部交易所,市场上还有很多小交易所因无法承担资金损失而“倒闭”,Coinbin、Bitgrail等都是很好的例子。
另一方面,遭受黑客攻击往往也意味着交易所“名誉受损”。
除了交易所安防能力外,质疑交易所监守自盗、逃避责任的网友不在少数。微博用户比特币老韩就曾写道“主流交易所用户信息频繁被盗,到底是用户自身安全意识差还是交易所内部人员在监守自盗?每次出现类似问题,相关交易所官方回复都会显得苍白无力,很快事情也会不了了之。”
此外,交易所安全事故也在一次又一次地摧毁用户对交易所乃至整个行业的信心。哔哔news采访到一位13年入场的炒币人士,虽然他没有因为交易所安全问题丢过币,但是其直言“币很少放交易所,都放在钱包,交易所必然要跑路”。
02. 安全问题这么严重,交易所对此超重视
那么交易所安全问题到底有多严重呢?根据慢雾官方统计,历史上交易所被黑且已披露的安全事件有56起,损失金额超过40.15亿美金,占到已披露的加密货币资金总损失的47%。
在被问到交易所安全事故发生频率时,慢雾余弦表示“从已披露的数据来看,平均一年是8起左右,近一年来,平均每个月就有2.5起,但要注意的是,这是已披露的数据。从慢雾内部数据来看,至少有2/3以上被黑事件未被披露。”
在如此恶劣的形势下,交易所们正在不遗余力地守护自己的安全底线。
交易所创始人以及高层对安全问题一般都非常重视,用谨小慎微形容一点也不为过。HB.top交易所创始人姚远曾表示“所有开交易所的,最担心被盗币,没有最安全,只能更安全一点,再安全一点。”
每天,姚远都会在阿里云和亚马逊云上看分析日志,以及里面和恶意扫描,服务器攻击相关的报告。“我们不得不每天打起12分精神,谨小慎微地运营,反复查验系统的健康指标,虽然枯燥但很重要。”
为了建好防御黑客的高塔,交易所们也不惜斥巨资配备技术人员、设备与软件。根据一家稳定运行5年的交易所提供给哔哔news的信息,其目前有20多名成员,其中涉及安全工作的成员就有5名,占到近1/4的比例。
交易所配备的安全人员不仅数量多,而且“很贵”。管理咨询公司Janco Associates的调查报告显示,区块链开发人员的年薪中位数远高于其他软件开发人员,约为13.2万美元,经验丰富的更多,约为17.6万美元。PeckShield(派盾)副总裁吴家志曾表示“安全人员的行业平均工资相比于同等资历的程序员通常要高出一倍。对于有特殊能力的甚至不设上限,给出的Offer超过老板都有可能。”
除了人员上的“软实力”,交易所们在配备设备硬件等“硬实力”上也一点不含糊。昨日,由于亚马逊AWS云服务故障,币安、Bithumb、Kucoin等多家交易所出现交易异常,说明有不少交易所在使用AWS等云服务平台。
根据阿里云官网信息,内存增强型云服务器(960G内存)按年支付的话,每个月需支付16830RMB的费用,这样算下来,一年就是20.2万,抵得上一个员工的成本了。“云安全中心”这类增强型功能的收费情况也令人咂舌。较为基础的功能,比如日志分析,每月每T收费500RMB,如果开通威胁情报功能的话,每台机器每月需支付5000RMB。
尽管安全成本高昂,但是大部分交易所(头部交易所尤其)还是会为这些安全软硬件买单,因为一旦发生意外,代价更加高昂。
此外,在加密资产的存储上,大部分交易所也将安全性作为一大考量标准。TokenInsight对2019年第一季度交易所综合评级榜中的前40名进行了调查,发现72%的交易所会采用冷钱包来存储资金,冷钱包因为不联网,能更好地确保资产安全性。还有一些交易所会选择自己开发钱包,一位创业者就表示“交易所要自己做钱包,别人的钱包不敢用。”
黑客这么难防,交易所自然不会孤军奋战,第三方安全服务机构是交易所在这场攻坚战中的最佳搭档。哔哔News联系了“社区白帽子”慢雾团队,想知道有多少交易所在使用第三方安全服务,余弦表示“慢雾服务了多少家交易所具体数据不方便公布,但是深度安全服务的知名交易所至少有30家。要说为交易所挽回多少损失这个很难衡量,但如果光从交易所假充值漏洞攻击来看,慢雾团队研发的“假充值漏洞扫描器”至少挽回了价值1万枚比特币的损失。”
除了专业安全团队的帮助,交易所们也在一次又一次的实战经验中建立及完善了应急机制。以币安和火币为首的交易所将部分平台手续费拿出来作为风险基金,以应对可能出现的安全事故;以Coinbase和Bitflyer为首的美日韩交易所则是联合传统保险公司,为用户资金进行保险,以对冲可能出现的数据泄露、资金被盗等风险。
交易所可以说是圈子里赚钱最快的产业,但是黑客攻击的致命性也意味着,交易所安保成本非常高昂,不仅仅是资金成本,也包括时间和精力成本。
03. 交易所的两难处境
交易所安全是一个“100%”命题,任何瑕疵都可能带来致命的结果。黑客全年无休、昼伏夜出,这意味着交易所要在100%的时间内保持清醒与警惕;黑客的攻击方式在不断更新,花样百出,这意味着交易所要对攻击方式与思路做100%的了解、防御与应对。
交易所Bitfinex的前首席战略官Phil Potter就曾表示“运维交易所是世界上最难的事情。无论代币的安全性有多高,黑客总能找到利用系统的方法。”
但是,就算交易所做到了安全性,用户也不一定买账。根据TokenInsight发布的《交易所安全性报告》,用户对交易所是否发生过安全事故的关注度其实并没有很高,发生安全事故后,交易所的应对机制才是用户更为关注的点。也就是说用户关心自己被盗的资金能否要得回来,但是交易平台本身做得是否安全,对其而言可能没有那么重要。在用户的眼里,没有被盗过币的交易所可能跟做到80%安全性但是出事后有足够资金进行补偿的交易所是一样的。
XXX交易所曾发生过三次主要的盗币事件,涉及14000多枚BTC资金,对市场币价产生过重大影响,但是因为平台对用户进行赔偿,同时推广模式玩法,用户人数仍然达到几百万量级。只要有赔偿机制,外加一些创新模式提供快速赚钱的机会,用户还是会选择被盗过币的交易平台(当然,安全性不能做得太差)。
换句话说,光凭安全性无法完整构筑交易所实力,在安全性的基础上,交易所还是要拼资金实力、名气,和模式创新能力。
此外,TokenInsight的报告还显示,在用户心中,交易所安全性格局与目前交易所行业整体格局类似,呈现出巨头垄断的态势,其他交易所与头部交易所之间存在较大的差距,用户普遍信任头部交易所的安全性以及资金背书,这对新兴交易所突围造成了很大的用户意识屏障。小交易所一方面资金跟不上,很容易被安全事故搞垮,另一方面要冲破用户意识,获得用户对其的安全认可更是难上加难。
参考资料:
《交易所老板的真实生活:遇盗惊魂,夜不能寐》byOdaily星球日报
《币安KYC资料再遭直播,黑客与币安谈判记录全曝光》by 深链Deepchain
《区块链开发人员工资增长》by 南宫不近也不远
《交易所安全性报告》by TokenInsight
本文来自,仅作分享,存在异议请联系平台删除。本文观点不代表刺猬财经 - 刺猬区块链资讯站立场。