據(jù) CoinMarketCap數(shù)據(jù)顯示，截至 2019年 12 月 13日，全球有 4930 種虛擬貨幣在“二級(jí)市場(chǎng)”交易，有 20561 個(gè)虛擬貨幣交易市場(chǎng)在運(yùn)營(yíng)。其中，以火幣、OKEx、Coinbase、Bitfinex等為代表的中心化加密貨幣交易所，既是加密貨幣交易流通和價(jià)格確定的場(chǎng)所，也是財(cái)富的匯聚中心。

[[286051]]

然而，對(duì)于加密貨幣交易所來(lái)說(shuō)，其精力重心放在盈利、品牌與生態(tài)布局，具體體現(xiàn)在流量獲取、交易深度和產(chǎn)業(yè)布局。安防與風(fēng)控更像是效果不好量化的成本項(xiàng)，因此，被重視程度和投入比例還遠(yuǎn)遠(yuǎn)不夠。

安全隱患

目前中心化加密貨幣交易所較大的安全隱患在于其薄弱的線上防護(hù)體系。在傳統(tǒng)金融市場(chǎng)中，證券交易所、期貨交易所等除了線上防護(hù)體系，還受系統(tǒng)性安全網(wǎng)絡(luò)(比如局域網(wǎng)、離線網(wǎng)絡(luò))保障，再加上嚴(yán)格的法律監(jiān)管條文和國(guó)家級(jí)的追查體系，都抬升了黑客的攻擊成本。

而中心化加密貨幣交易所集成了多個(gè)角色功能(如獲客、交易、清結(jié)算等)，卻只有一層線上防護(hù)體系，一旦被黑客突破，幾乎毫無(wú)還手之力。

加密貨幣交易所的安全隱患主要體現(xiàn)在網(wǎng)絡(luò)帶寬、賬戶體系、支付體系和業(yè)務(wù)撮合系統(tǒng)等多個(gè)環(huán)節(jié)。

1. 網(wǎng)絡(luò)帶寬

網(wǎng)絡(luò)帶寬易受拒絕服務(wù)攻擊(Distributed Denial-of-service Attack，DDoS)。DDoS 攻擊亦稱洪水攻擊，是黑客通過(guò)傀儡機(jī)生成大量“合法”請(qǐng)求或模擬多個(gè)用戶不停訪問、占用網(wǎng)絡(luò)資源的網(wǎng)絡(luò)攻擊手法。其目的在于使目標(biāo)網(wǎng)絡(luò)或系統(tǒng)資源耗盡，直至服務(wù)中斷，導(dǎo)致正常用戶無(wú)法訪問。

2. 交易所賬戶體系

黑客通過(guò)釣魚網(wǎng)站、終端逆向破解、植入木馬、欺詐、窮舉、后門、撞庫(kù)等手段對(duì)加密貨幣交易所賬戶體系進(jìn)行盜號(hào)，轉(zhuǎn)移用戶的數(shù)字資產(chǎn)。

3. 交易所支付體系

為防止黑客攻擊，中心化加密貨幣交易所通常會(huì)將 95% 以上的資產(chǎn)存儲(chǔ)在冷錢包中。但為維持支付等日常功能的正常使用，熱錢包必不可少。有關(guān)熱錢包的安全風(fēng)險(xiǎn)將在下文數(shù)字錢包業(yè)務(wù)場(chǎng)景中具體展開。

4. 交易所業(yè)務(wù)撮合系統(tǒng)

加密貨幣交易所外部業(yè)務(wù)接口以及后臺(tái)管理系統(tǒng)并非完美，或存在業(yè)務(wù)邏輯漏洞。黑客可通過(guò)攻擊這些邏輯漏洞來(lái)實(shí)施非法操作，比如盜取用戶信息數(shù)據(jù)、賣出用戶資產(chǎn)。

如何應(yīng)對(duì)這些安全隱患?

1. 組建安全團(tuán)隊(duì)

加密貨幣交易所安全團(tuán)隊(duì)需占團(tuán)隊(duì)總?cè)藬?shù)的 13%，需花費(fèi) 17% 的預(yù)算用于保證加密貨幣交易所交易所安全運(yùn)行，并建立完善的安全保障機(jī)制。Odaily星球日?qǐng)?bào)在采訪安全鏈SECC時(shí)，發(fā)起人錢科銘也建議各交易所建立自己的安全團(tuán)隊(duì)，或至少要有一位足夠了解交易所風(fēng)險(xiǎn)點(diǎn)的 CTO。

2. “冷熱錢包”隔離

采用“冷熱隔離”機(jī)制，將 95% 的幣值儲(chǔ)存在冷錢包中，只預(yù)留 5% 用于提現(xiàn)等，以此降低可能損失的金額。

3. 獨(dú)立第三方審查

聘用外部安全團(tuán)隊(duì)，就外部密碼審核、多重簽名錢包、兩步驗(yàn)證等方面展開合作。

4. 進(jìn)行多重測(cè)試

智能合約的測(cè)試不同于普通軟件的測(cè)試，合約的并發(fā)能力測(cè)試需要得到足夠的重視。同時(shí)，由于智能合約的語(yǔ)言在不斷迭代，也要加強(qiáng)復(fù)用代碼的管理。