在年初Tokenclub所組織的一場幣圈直播中,寶二爺曾經對聽眾說:2018年將會成為交易所的發展元年,現在看來,2018年是不是交易所發展元年還不好說,但絕對稱得上是交易所多事之年:先是各路交易所直接突破一萬家;後來又開始圍繞著交易挖礦搞出了一堆節目;
而這幾天的話題又轉移到了交易所的安全問題上——近期,CoinPark交易所遭到黑客攻擊,其比特幣被直接砸破1000美元,大批用戶和黑客在吃到低價後,喜不自勝地提幣跑路,更有消息傳出:部分CoinPark的用戶錢包裡莫名其妙地多出了N多的資產,雖然官方此後出面試圖澄清部分傳言,但此時的幣圈市場,已經是無可挽回地陷入了一片風雨飄搖之中。
OK,我們暫時不去討論這些消息的真偽,畢竟今年以來,交易所被盜頻率和資產的丟失數量大幅上升已經是不爭的事實:數據顯示,上半年交易所失竊的數字貨幣價值,已經超過了2017年全年。
那麼問題來了,為什麼我們的資產放在交易所也不安全?到底怎麼做,我們的資產才會得到100%的安全保障呢?
長APT:交易所不能承受之重
要回答這個問題,我們首先來看一個詞:APT。
什麼是APT呢?
它實際上是一個網絡安全術語,意思是“高級持續性攻擊”(Advanced Persistent Threat),也就是黑客長時間盯著某個目標,對其從各個方向進行不同方式的攻擊,甚至為此不惜花費時間和精力去佈置一個巨大的局,這一整套過程,少則幾個月,多則幾年,目的只有一個:就是攻破目標的網絡防線,獲得其背後的信息或資產。
一般來說,由於實施成本太高,但從中獲得的利益又與之不匹配,大部分黑客對APT沒什麼興趣,所以這種攻擊一般只發生在國與國之間,或是大型組織之間。主要是為了實現政治目的、而不是經濟效益。
事實上,我們現在所使用的中國互聯網,它其實也是無時無刻地面臨著外部力量的攻擊,只不過這些攻擊都不為人們所熟知而已。
然而,數字貨幣的出現,使得APT行為——尤其是針對大型交易所數字錢包的攻擊,瞬間充滿了極大的經濟吸引力。原因很簡單:交易所的錢包裡,往往會聚集了相當數量的代幣,如果把它們偷到手,黑客獲得的不僅僅是鉅額的資產,更是操縱市場上這些代幣價格的權利,說白一點,就是黑客在偷到幣之後,可以先把價格拉上去,再把手裡的幣以高價逐漸賣出。
在這種數量和價格的雙重吸引力下,對交易所錢包進行持續攻擊(APT),幾乎是數字貨幣領域的黑客們孜孜不倦的樂趣、甚至說是值得為之付出一生的事業——畢竟,只要偷一次得手,拿到的錢都夠花好幾輩子了,因此說值得為之付出一生,也不為過吧?
從上面的分析我們不難看出,平時大家接觸的那些數字貨幣交易所,它們看似風平浪靜,實際上時刻都在承受著全球黑客們來自不同方向的網絡襲擊。當然了,黑客們的攻擊也是有重點的,像幣安、OK、火幣這樣的大平臺固然寶藏豐厚,但人家捨得花錢,網絡安保措施也非常嚴密,一般水平的黑客組織很難攻得進去。
怎麼辦?換個方向咯:一是那些小型的、不知名的交易所,這些平臺很多都是由剛入門的創業者成立,在安全意識和技術方面往往比較落後,更容易攻破;二是那些沒有牌照的非法交易所,攻擊得手之後,對方無法獲得當地的法律保護。
對黑客來說,攻擊這種交易所的收益高,成本低,簡直可以說是砸到頭上的大禮了。我們在文章開頭提到的Coinpark被盜,可以說就是這方面的一個典型案例。
在這樣的情況下,可以說,在你把數字資產充進交易所的一瞬間,你實際上就已經被捲入到了黑客與白客(從事正當行業的黑客)之間這場曠日持久、從不停歇的網絡對攻戰當中,你的資產安全與否,完全取決於雙方的交鋒誰勝誰負,如果白客佔上風,那還好說,如果黑客佔上風,那您可就得自求多福了。
歷史上大大小小的交易所被盜案件已經說明:只要交易所被盜的資產超過一定的比例,立刻就會引發用戶的擠兌狂潮,而在這其中,註定有相當一部分投資者將無法再取回自己的資產,最終淪為悲劇的買單者。
圖:近年來知名交易所被攻擊情況一覽
錢包:100%可靠的避風港?
正如我們上面的表格裡所顯示出的一樣,隨著黑客盜幣案件頻頻發生,越來越多的投資者也開始意識到,把數字貨幣保存在交易所,實在算不上是一個安全的決定,在這種情況下,很多朋友心一橫,走上了另外一條道路——把幣一股腦全都提到錢包裡。我自己的資產,私鑰由我自己保管!
怎麼樣,聽上去是不是很有一種“自己的命運自己掌控”的豪氣?但是對不起,現實是殘酷的:對於某些人來說,把資產提到錢包裡,丟得更快,到頭來才發現:這還不如放到交易所裡呢。
為什麼會出現這樣的情況?
相信很多人都知道,數字貨幣市場上有很多種不同的底層公鏈,而每一種公鏈,它都匹配了一種專屬的錢包,而這些公鏈資產、以及基於它們的各種應用型代幣,都只能放在自己專屬的錢包裡,舉個例子:EOS在主網上線之前,它的代幣都是以ERC20的形式存在的,因此可以存在以太坊的錢包裡。而在主網上線換幣之後,它的這些新代幣,就只能保存在EOS專屬的錢包裡了。很好,在這樣的情況下,你現在除了以太坊錢包之外,還要再安裝一個EOS錢包,否則你的EOS代幣將無處存放。
那麼問題來了:大多數投資者,他們有妥善管理多個錢包的能力嗎?答案是沒有。在過去的一年裡,市場上N多的代幣都是以ERC20的形式存在的,也就是都保存在一個以太坊錢包裡就OK,然而就是這麼一個錢包,各種被盜的事件都層出不窮,有保存在郵箱裡被黑客攔截的、有截圖下來被人工智能識別的、還有隨手扔在家裡被小舅子順走、甚至乾脆直接找不到的……各種奇葩事件層出不窮,要知道,以太坊的錢包在各種公鏈裡,已經算是比較容易上手了,就這麼一個錢包,都搞得雞飛狗跳,那現在市場上還有量子、小蟻、瑞波、EOS、IOTA鄧幾十條公鏈呢,未來還會有本體、亦來雲、ELF、ADA、ICX等一大堆候補選手,你怎麼辦?難道要同時下載N多個錢包,記N多個私鑰,你確定不會把他們弄丟或是記混?
圖:被稱為“最難用錢包”之一的IOTA錢包
OK,退一萬步說,就算你真的有非常好的私鑰安保措施,那麼未來的公鏈這麼多,與之匹配的錢包也是鋪天蓋地,你確定你在下載錢包的過程中不會被黑客中途插進木馬病毒,從而窺探並盜取你的私鑰?
畢竟,數字錢包雖然聽上去安全,但它從設計、發佈,最後通過各種複雜的網絡傳輸來到你的電腦或者手機,中間要經過很多道流程,但凡其中一個環節出現問題,想都不用想,你的資產屆時將會消失的無影無蹤,畢竟,能下這麼大苦功攻擊錢包的黑客,那都不是來給你做義務投資者教育的。
沒有一處是絕對安全的:數字資產的最終歸宿
看到這裡,投資者朋友們可能心裡已經泛過了一絲絕望:交易所也不行,錢包也不中,這到底還讓不讓人活了?我們的資產,放在哪裡才是絕對安全的呢?
嚴格來說,這個世界上其實就不存在100%安全的事情,好比此時此刻我走在大街上,我也不確定後面會不會突然飛出一輛車把我捲走,但我可以通過遵守交通規則,來增加安全通行的可能性。數字資產的保存也是一樣,我們所能做的,就是儘可能提高資產的安全性。在這裡,筆者給大家幾條相對來說比較容易的操作建議:
1、不要把自己的資產都保存在一條渠道上。社長經常會注意到,一些幣圈網紅在寫投資日記時,會告訴大家:自己把所有的幣都放在了某某交易所上,各位讀者請注意,這是風險非常之大的。有多大呢?就跟你梭哈了一個幣一樣。只要這個交易所被攻擊盜幣,你的資產隨時都會面臨縮水甚至歸零的風險。而降低這種風險最直接的方法,就是把自己的資產分散在不同的渠道上——A交易所放一部分、B交易所放一部分、熱錢包放一部分、冷錢包放一部分……總之,在自己能夠管理得過來的範圍內,儘可能分散。這樣的話,即便是一個渠道出了問題,對你來說也只是損失了一小部分。
2、別碰小交易所。就像我在第一部分所提到的那樣,交易所的錢包現在是黑客的最愛,尤其是那種心比天高,命比紙薄的中小交易所,他們有成為銀行的夢想,但在資產安防方面卻完全沒有銀行那樣的水準,捨得花錢返利挖礦賺流量,卻不捨得花錢搞網絡安防或者去搞定一張牌照,到頭來,不僅對黑客的攻擊無能為力,而且出事後還無法獲得當地政府的法律保護,最終一地雞毛。
3、儘量使用主流公鏈的、比較成熟好用的錢包,把自己資產中那些非主流的公鏈幣種儘可能放在大交易所上。就像我上面所提到的一樣,現在很多公鏈都在開發過程中,它們的錢包還都相當不完善,對於不懂計算機知識的你來說,你根本沒法確定自己所下載到的是正品,還是被黑客中途劫持替換的冒牌貨,退一萬步說,即便你下載了下來,就現在數字錢包的使用體驗,也是相當反人性的,沒兩把刷子的話,分分鐘就會弄丟私鑰(比如說有些公鏈只有PC端的網頁版錢包,結果就在你把資產轉移進去之後、正在抄私鑰的時候,電腦突然藍屏),所以在這樣的情況下,大家還是乖乖地把那些比較新的幣種,分散地保存在一些大的交易所吧,至於相關的錢包,自己可以先下載一個來體驗體驗,等熟悉了相關操作、產品也更加完善之後,您再攥在自己手裡也不遲。
但問題在於:對於普通投資者來說,冷錢包其實不是一個一勞永逸的方案,首先,它的使用流程比較複雜,其次,一旦冷錢包因為某些原因損壞或者丟失(比如家中失竊、錢包進水),你的數字資產也就拜拜了。第三,冷錢包也是挺貴的,目前大約在3000-10000元左右,對於很多工薪族來說,他們實在是下不了這個決心。
圖:庫神最便宜的錢包也要3000元
在這樣的情況下,筆者建議大家,您要有那個錢,不如買一個新手機,反正跟冷錢包相比,手機的更新迭代才是剛需,至於那個舊的手機,您就把它當做冷錢包用吧——也就是下載一個熱錢包在舊手機上,把資產都轉移進去之後,斷網保存。
至於私鑰的保存嘛,您要是實在放心不下,就去銀行買一個保險櫃的業務,把自己的私鑰寫在紙條上放進去,或者說把私鑰拆開寫幾份,同時放到N個銀行的保險櫃裡,反正也不貴,一年幾百塊錢。我可以保證,這些保險櫃被人攻破的幾率相當之小,至於幾個保險櫃同時被人攻破的幾率,那估計跟火星撞地球的可能性有得一拼。
OK,關於數字資產安全問題的介紹和建議,到這裡就基本結束了。正如身體的健康是工作的根基一樣,資產的安全也是我們投資的根基。在這裡,社長建議大家平時少看一點波段和八卦,多關注一點資產安全,不要捨不得花時間和精力在上面,更不要用“我這點資產黑客哪看得上”的理由來麻痺自己。
畢竟,對於黑客來說,“這點資產”或許只是被盜資產中不值一提的一小部分,但對於你來說,那可能承載著你的全部。
閱讀更多 區塊鏈藍海 的文章
