风险提示:防范以“虚拟货币”“区块链”名义进行非法集资,请广大公众理性看待区块链,提高风险意识。

知道啦

|
APP
|
投稿

梦丹十一问第5期 | 币安交易所SYS漏洞风波

发布时间:2018-07-13 16:59 阅读量 6742
关注
2018年7月13日,币块财经就币安交易所SYS漏洞风波这一话题,对张德涛、吕志宽、左鹏、张海航等11位嘉宾采访。

微信图片_20180711172557.jpg

2018年7月13日,币块财经就币安交易所SYS漏洞风波这一话题,对张德涛、吕志宽、左鹏、张海航等11位嘉宾采访。

梦丹

7月4日上午,币安交易所宣布将进行临时维护,随后有市场传言称币安的异常交易或与SYS漏洞相关一事,并且疯传"币安被盗10000个比特币"。对此,币安联合创始人何一回应称是平台内部转账,并非被盗,不用担心,并且称这一消息的放出,是为了转移"李笑来录音泄露事件"。而对于此次事件,您如何评价?其实,交易所盗币事件时有发生,在您看来,中心化交易所真的安全吗?交易所到底该如何确保加密货币的安全?

张德涛.png

交易所安全事件时有发生,对于此次事件我也不好多加评判,我只能从宏观角度来谈谈交易所安全问题。因为交易所都是中心化交易所,存在安全隐患。中心化交易所的数据以及后台清算系统都是自己的,所以目前存在这样的安全隐患。

现在大家都推崇去中心化交易所,但是去中心化交易所效率太低, TPS跟不上。所以有人做一个中心化交易所,但是清算系统是去中心化的,第三方做一个安全的清算系统,所有币都在清算系统进行交易,之前所有的交易都只是一个锚定,然后清算系统慢慢的去处理这个数据,这样就达到一个安全的一个效果。

所以,在我看来,未来交易所需要提高安全级别,通过提升硬件水平,达到银行证券这种安全级别。另外,交易所加入第三方清算系统,类似于支付这样,我们把钱放在支付宝也觉得比较安全,因为它有一个第三方清算系统。

吕志宽.png

现在的区块链相当于94年的互联网,那个时候是没有APP的,底层技术不支持有应用出来。

区块链的发展也是一样。交易所的趋势会从中心化交易所,发展到去中心化交易所,再到分布式交易所。但底层数据都是相连的,你交易所的卖单会被别人交易所买单成交。

未来人人token,交易所遍地。趋势的车轮不可逆转。现在的安全问题不容易解决是因为,技术还未成熟到一定阶段,在所难免。乐观看待现在发生的事件,时间可以解决问题。

左鹏.png

此次事件,从公开的信息来看,可以确定的事实是币安的一部分API用户以超高价格购买了SYS币,然后攻击者通过操纵价格获取暴利。但攻击者是黑客还是普通用户抑或是币安自身,尚无法确定。

此次事件暴露了几个问题:一是API身份认证的安全问题,仅凭密码就可以操纵巨额资金交易是不可接受的,交易所应对API账户采取多种身份验证手段。二是对异常交易的监控问题,仅仅在事后报警是不够的,应该做到事中实时监控,对异常交易尤其是价格短时间内巨幅波动的交易拒绝进行处理。三是交易所联动监控问题,对搬砖客的异常行为,交易所之间应建立相应的机制进行实时的协调。四是中心化交易所监守自盗的问题,交易所所在国家政府应加强对交易所的监管,通过监管科技实时监督交易所的异常行为。

去中心化交易所是大势所趋,但目前区块链的技术还无法支撑高频交易,只能通过中心化与去中心化相结合的手段慢慢过渡。像传统金融交易所一样,受到严格监管的中心化交易所也可以达到接近于去中心化交易所的安全水准。

张海航.png

说实话,币安SYS漏洞是一个很大的事件。因为很多时候我们不能把这些问题全部都归结于交易所问题。交易所固然有问题,但是,项目本身智能合约可能也存在漏洞。就像之前美链BEC闹得人尽皆知,因为智能合约出现漏洞,导致99%的币直接被盗取,币价破发。

交易所安全性问题与中心化以及去中心化关系不大,更多是与其技术层面挂钩,包括风控这一块。目前,大家应该重点关注项目方智能合约能够解决漏洞问题,确保黑客不会攻破智能合约,然后盗取币。

在我看来,交易所盗币主要有两大原因,一个是人为原因,一个是技术原因。据我所知,像币安这样的老牌交易所,应该会在安全方面投入大量资金,基本上安全问题不大,难免也会出现一些小纰漏。

现在讨论中心化交易所是否安全还没有必要,因为目前整个区块链行业还没有出现所谓的去中心化交易所,去中心化交易所将会是一条非常漫长的道路,至少目前为止还没有办法实现。至于交易所安全监管机制如何实现,在我看来,现在整个区块链市场大部分是资本家和投机者,你想把安全交给资本家和投机者是不太现实的,某种程度上国家的监管是有必要的。打个比方来说,你见过中国证券交易所发生过被盗或者攻击问题吗?简单来说,这些交易所无论做的多大,都不是国家正统交易所。所以,交易所是需要国家介入进行监管。交易所被盗的另一个原因是人为原因,交易所内部人员所为。像日韩两国频繁出现交易所被盗事件,在我看来,某种程度上不是技术层面不过关,更多时候是出现内鬼。中国国内交易所虽然会出现漏洞,至少没有出现大规模交易所被盗,交易所无法偿还债务而直接倒闭的事情。

总的来说,交易所安全问题与中心化以及去中心化没有任何关系,因为有人存在的地方就不存在去中心化。而交易所以及交易所安全这块需要第三方组织进行监管和审查,这个组织哪家担任都不合适,只有国家是最佳角色。

韦豪.png

数字资产交易所从诞生以来就一直被安全问题所围绕着。交易所一旦公布自己的安全隐患,就会陷入信誉缺失、客户流失的境地,所以交易所在没出特别大的安全问题的情况下,不会对外公布自己的安全问题,而一旦出了重大安全问题,就晚了,通常平台会面领兑付危机,甚至跑路。

币安作为曾经的世界排名第一的交易所,应该以身作则的给其他交易所树立榜样。之前的SYS安全风波,具体情况谁都不知道,只有币安自己知道,是一个完全的"强中心"的运营情况。我觉得币安可以对公众、用户、投资人公开一些可以公开的安全维护日志,也可以让公众知晓币安在安全维护方面所做的工作,了解币安的安全技术实力,增强对币安交易所的信息。

王偌鑫.png

区块链本身提倡的理念是去中心化分布式的账本,交易所一直都是中心化的产物,在我看来,Token在交易所交易有点自相矛盾。区块链的理念是去中心化的颠覆传统的中心化,但是,当我们进行交易的时候又返回到传统的中心化交易场所,我认为这是一个矛盾的问题。

关于盗币的问题,其实关键在于个人自身。很多盗币往往是监守自盗,或者是出于人性层面的问题,我个人对于区块链技术是盲目崇拜的。当然,也需要注意区块链技术本身的很多安全问题,但是,目前全球范围内不部分交易所的盗币问题,归根结底还是在于人本身。

在我看来,全新交易所的成立,除了要加强人性管理,更应该加强自身安全防范,以及弥补用户丢失的代币。例如:支付宝的保险类产品,如果支付宝出现货币丢失,是会进行理赔的。那么,今天的交易所为什么就无法做到呢?在我看来,权利和义务是对等的,交易所在赚取用户金钱的同时,也需要提供对等的服务,最基本的服务就是保证用户资金安全,如果因为自身原因,导致用户账号内代币被盗,他们就应该进行理赔。

目前来看,中心化交易所想要具备较高的安全系数是做不到的。例如:国家银行每年都会发生各种资金挪用和经济纠纷,交易所仅凭民营单位管理运营,对于其职业操守很难考究,去中心化交易所是未来发展的一个方向,最关键的还在于我们如何利用区块链的去中心化技术,然后再考虑在安全问题方面做出一些突破。

张柏程.png

其实,Syscoin出现的漏洞问题与币安被盗币是两起事件,宣称为了转移"李笑来的录音泄露事件"只是一种公关说辞。这一方面体现了区块链技术的发展还处于早期阶段,很多技术还非常不完善,以太坊也曾多次受到攻击,智能合约漏洞频出,EOS也多次曝出安全漏洞,网络安全是永远的话题,作为区块链的从业者,这更是大家需要去努力和完善的。而另外一方面,交易所的安全隐患时刻存在,除了技术上的保障,安全管理流程还有用户的资产安全保障制度更为重要。

交易所盗币事件时有发生,没有绝对安全的网络环境,现在交易所数不尽数,选择大型知名可靠的交易所成为用户必然的保障,币安基金的保护,是给用户更可靠的信心。小型交易所,资金实力不够雄厚,技术实力和事故后期保障也不足,很容易出现提币困难,甚至跑路的现象;但是,大型交易所更容易成为黑客攻击的目标。去中心化交易所同样也存在很大安全弊端,而且也很难取得更可靠的保障。去中心化交易所和中心化交易所各有长处,也各有弊端。因此,没有真正安全的交易所。

加密货币的安全问题,将会是永久的话题。交易所角色就类似于银行,有义务保障用户资产的安全,从技术上,应该做到多重隔离,灾备系统是必不可少的,技术安全是个持久战。除了技术上的保障,安全管理流程和细节还有用户资产安全保障制度更为重要,在安全事故发生之后,交易所理应全面负责用户资产的损失,让用户对于自己的资产放置于交易所的安全更有信心,力求从理赔制度上更人性化,更完善,甚至有专项资金针对受损用户的资产损失进行赔付,在这点上,为币安成立专项基金的做法点赞。

另外,为了资产的安全,建议用户需要有更全面的安全意识,学习安全防范知识,不要泄露自身账号的秘钥密码,尽量确保自身的网络环境和使用设备的安全性,不要把大额的数字资产存放于交易所,大宗资产应该放置在更安全的自有钱包(冷钱包,更甚至是硬件钱包等更为安全的自有资产钱包)。

李立中.png

首先,不论币安交易所漏洞是否属实,当前通证交易所体系的安全性和银行体系相比都有很大差距。即便如此,银行的资金盗划大案每年都有,通证交易所出现这种问题是不可避免的。其次,通证交易所是新生事物,很多系统都是从小作坊直接购买的源代码,价格低安全性就得不到保障,甚至于有些系统已经预留了后门。加上交易所自身的团队建设,无论是业务安全流程还是系统安全运维都缺少必要的资金和人员投入,这次事件属于偶然中的必然。最后总结一下,交易所这种核心系统全部在线的安全模式需要创新意识,去中心化的交易所未必是合理选项,不仅交易效率上有实现难度,同时增加劫持和51%的攻击机会。事物发展总是在业务拓展中不断完善尤其是互联网业务,边飞飞机边换引擎属于常态,衷心的希望这个行业从业者把客户利益和资金安全放到首位。

任长远.png

交易所处于野蛮生长的时期,很多基础设施并不完善。随着数字加密货币的兴起,越来越多的黑客盯紧交易所。交易所丢币已经是很常见的现象,但是一旦出现技术事故,有没有能力处理和怎样处理成为关键。建议广大用户选择有实力的交易所交易。中心化交易所在体验上是无可比拟的,但没有绝对的安全,选择大型交易所,抗风险能力更强。如果是长线投资,可选择把币提到本地妥善处理。交易所确保加密货币的安全,可在3个维度着手,1、钱包的安全,这一点大都数的交易所是冷热隔离。更有甚者通过光波,无线电等手段,但是不管是什么手段,流程的缜密性才是关键2、交易程序本身的安全,这个需要安全工程师长期进行代码审查,攻防模拟、迭代速度加快等3、内部管理的安全,这个是重头戏,所有代码可溯源,可追踪,规范工作流程,把风险扼杀到摇篮里。 

叶京.png

我觉得像SYS类似的漏洞肯定是时有发生的。目前来说,实际上交易所面临黑客攻击,安全防范的要求越来越高,很多交易所实际上不具备这样的技术和资金储备来保证安全性,目前多是借助于第三方的安全公司本提供服务,这就涉及到安全系数不是很高。因为现在整个交易所内部都有自己的风控流程和风控体系,包括冷热钱包的双重保险。所以,我觉得币安肯定是没有被盗一万个比特币的。

我认为中心化的交易所,如果内部风控体系建立起来,以及技术安全提升,相对还是比较安全的。目前,很多中心化交易所主要存在的风险是内部的监管体系。有些交易所后台账户可能集中在几个人手里,很容易出现监守自盗的情况。实际上,现在很多盗币行为与交易所内部人员监守自盗是存在一定关联的,存在公司内部人员与外部黑客联合起来,一起盗取交易所的代币。

目前绝对去中心化交易所是很难实现的,因为它还需要相关的运营体系,以及服务体系等。中心化交易所还是存在一定价值的,目前来看,还是需要中心化交易所或者是部分去中心化的交易所。

交易所的安全性的主要做到以下几个方面:

1、需要有一个完整的风控体系。包括多级审核机制,以避免人为操作的可能性,让所有在职或者离职的员工都没有办法黑掉自己的交易所,除非是整个交易所内部监守自盗,那就没办法了。

2、要确保安全性。第一就是与专业的安全公司合作,同时交易所自身也要进行技术人员的储备,建立专业的安全团队。这样,除了有自己专业的安全团队以及完整的风控体系,同时还有第三方安全公司来加强安全保障,这样才能让交易所更加安全。有一些中心化的原则让它去中心化,因为现在很多交易所都发了平台币。它可以实施去中心化的标准,这样安全性是可以保障的。包括交易所的冷热钱包功能,让很多黑客也很难盗币。 

李放.png

就着币安SYS事件作为本期话题探讨交易所安全,我先分析一下我眼中的中心化交易所的安全机制问题,首先最近交易所频发黑客利用API端口问题,异常交易事件高发,使API端口逐步演变成了潘多拉魔盒,交易所对其是又爱又恨,从币安到coinpark都避免不了,从无可或缺到弃之如敝履,这里面需要一个漫长的过程,其实目前大部分交易所还是使用冷热钱包隔离的安全机制,大概将90%左右的币存放在冷钱包里,预留10%左右去提现充值,这是多年来总结出来的有效的机制,但是随着黑科技逐渐强大发达,数字资产的火热以及诸多的黑客事件发生,让拥有黑科技力量的团队进一步盯梢大型交易所,期待通过非正常手段获得暴利,所以目前个人认为交易所应该更加细化加强防护细节,除了已知的冷热钱包安全隔离机制,还要强化登录安全,强化后台逻辑算法破解次数,验证步数等,强化账户安全及硬件安全,以及主要的系统安全,主要着力于冷热钱包分离的管理机制,多重签名,密钥保存机制,多步验证机制,外部密码审核机制等等。

近期我们也看好有一些优秀的技术方,实现的私钥离线生成,离线加密存储等不触网技术,同时采用超声波和二维码等非无线电及射频技术同步到公钥地址到区块链中心热端服务器等,实现冷闸技术处理完全离线,使其完全隔离于互联网之外,目的是实现去中心化资产托管方式,由交易所集中托管转变为用户端自持隔离托管,能够进一步增加交易所安全属性,可以说随着黑科技的不断进步,安全的技术也在不断迭代,自古以来都有矛与盾的故事一直在上演,未来亦是如此,站在交易所的角度来看只有不断制造更坚实的安全护盾,才能不断承载更强大的未来。

声明:币块财经登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。

收藏