自2010年7月全球第一家数字资产交易所 Mt.Gox 成立至今,安全问题一直是每家数字资产交易平台面临的重大挑战。但经过多年发展,数字资产交易所的安全问题仍然使人心忧,综合多份安全评级报告,过去的9年间,累计有至少32家交易所被爆出安全问题,共有超过15亿美元的数字资产被盗,交易系统宕机等事件更是非常频繁。
据币安官方数据,其日均交易额达到百亿级规模,在全球拥有数百万用户,此次用户的KYC资料大面积泄露导致大量用户的隐私被侵犯,并且将加大用户的资产安全风险。
事实上,这已经是近两年来,币安第四次重大的安全事故。
1)2018年3月7日,币安API接口被黑客攻击,黑客掌控部分用户账户资金,爆拉小币种VIA。
2)2018年7月4日,币安API接口再次被黑客攻击,黑客再次掌控用户账户资金用于爆拉小币种SYS。
3)2019年5月8日,币安钱包被黑客攻击,7000BTC被盗。
4)2019年8月7日,币安数据库被黑客攻击,用户KYC资料被盗。
作为全球头部的数字资产交易所之一的币安,接连爆发出重大安全问题,让行业心惊。
相较而言,OKEx、火币两家交易平台面临的“安全可靠性不足”的攻击主要集中在宕机问题方面。据不完全追踪统计,2019年以来,OKEx 宕机类问题共出现3次;火币宕机类问题共出现7次。其中,火币相比于去年宕机频次明显增加,症结应该在于其2018年底正式上线了合约交易产品,合约交易类产品对交易系统可承载并发量及稳定性的要求更高。
安全事件类型 |
事件危害及严重性 |
代表案例 |
交易所钱包被盗 |
用户资产直接损失,若交易平台不能或不愿填补损失,交易平台破产将导致用户资产无法追回 |
Mt.Gox、Poloniex、Bitfinex、Biki、Binance |
交易所用户账户 被控制 |
用户资产直接损失,若交易平台未能及时进行提现限制,用户资产将无法追回 |
Binance |
交易所用户信息泄露 |
身份信息泄露将造成用户隐私被侵犯;密码信息泄露可能导致该用户多个相关平台的资产被盗 |
Binance、ZB |
交易所宕机 |
不能及时进行交易,可能导致错过重要行情,带来损失;更严重的,对于合约交易来说,可能导致未及时平仓引发爆仓损失 |
火币、Binance、Bitmex、Poloniex、Bitfinex、OKEx |
客观来说,数字资产交易所的安全可靠性相较于传统证券交易所仍有明显差距。究其原因,一方面,数字资产交易所面临的安全问题的复杂度确实更高,并且,相较传统金融市场,数字资产交易市场的发展时间尚短,安全防御的经验相对少,有一定历史局限性。另一方面,也是更加本质的问题在于,IT领域永远没有绝对的安全,安全总是跟成本相对的一组概念。交易所的安全防御成本投入过低,往往是爆发重大安全隐患的根本原因。
1. 数字资产交易平台相较于传统金融市场,面临的安全挑战的复杂度更高
1) 传统证券市场每天交易时长平均为5小时,并且周六日闭市;但数字资产交易市场7*24小时交易,系统修复和升级的难度明显增大。
2) 数字资产投资市场价值认同不充分,投资者的投资技巧和信心不足,交易行为容易更受到突发性事件的影响,交易量波动性非常大;这很大程度上加剧了交易量预期的难度,不利于交易所提前对部署冗余服务器进行合理安排。
3) 传统证券交易所为完全封闭的系统,数字资产交易所由于需要进行数字资产的链上交易,额外需要承担区块链钱包被攻击以及一系列的连带风险。
4) 数字资产交易所还需要额外应对其上线币种背后的技术安全问题,仅2018年5月份,就先后爆出SMT、BEU等4个以上ERC20代币的智能合约漏洞,BTG 、XVG等公链遭遇的51%攻击,以及EOS节点被远程控制的安全漏洞。
2. 头部交易平台更容易成为攻击目标,应该投入更多的安全保障成本
安全是与成本是相对的一个概念,并没有绝对的安全。
从内部来说,宕机问题的主要原因是交易所投入的运维服务力量不足,这其中包括服务器等硬件成本以及核心开发运维人员成本。举例来讲,假设在绝大多数交易时间里,一个交易所系统需要有效承载的最大交易并发数量为100万,10台服务器和30个中高级的开发运维人员可以满足;如果一个交易所毫不考虑投入产出比,全力保障安全性,它可以部署100倍服务器,并且招募3000个顶级的开发运维人员以实现支持1亿交易并发量,那么它会轻松实现0宕机故障。但是事实上,没有一家商业机构会这么做,这也是为什么巨头如淘宝,也会在双十一的时候会宕机。各家交易平台永远在平衡,我是增加3倍的投入,来降低80%的风险,还是增加10倍,来降低98%的风险?
从外部攻击来说,当黑客的攻击成本大于其可能的获益,黑客们将停止攻击。相应地,交易所们不断加强安全投入,正是在拉大黑客的攻击成本,以降低黑客攻击成功的可能性。要知道,当前全球有数百家交易平台,但是大量的数字资产集中在头部的交易平台之中,故而黑客攻击头部交易所的动力最强。这也就意味着,头部交易所必须投入更大的安全保障费用。
综上,数字资产交易所在安全方面的确面临更加复杂的挑战,行业发展仍处在早期阶段,并没有积累到充足的安全事故防御的经验,我们不应该一味苛求交易所们完全没有任何安全类的问题;但同时,行业用户们也不应该包容诸如币安的连续安全事故,毕竟目前大多数安全问题能够通过事前加大研发和运维投入予以消除。
对于金融系统来说,安全性是生命线,一旦发生大额资产被盗的安全事故,将引发系统性风险。回想过去几年之中,一旦发生了头部交易平台大规模被盗事件,都会不同程度引发BTC的下跌行情。数字资产交易平台作为区块链数字资产的核心命脉,不自律的后果不仅仅是自身的品牌受损,部分用户的资产受损,更将引发全球大面积用户对整个行业的质疑,阻碍行业的可持续发展。
数字资产行业正在快速迈入新的增长期,数字资产交易市场的资金量和用户规模正在高速的增长,如果不能及时修补安全漏洞,不难想象的是,下一次安全问题的爆发将带来更加惨重的后果。