自2010年7月全球第一家數字資產交易所 Mt.Gox 成立至今,安全問題一直是每家數字資產交易平臺面臨的重大挑戰。但經過多年發展,數字資產交易所的安全問題仍然使人心憂,綜合多份安全評級報告,過去的9年間,累計有至少32家交易所被爆出安全問題,共有超過15億美元的數字資產被盜,交易系統宕機等事件更是非常頻繁。
據幣安官方數據,其日均交易額達到百億級規模,在全球擁有數百萬用戶,此次用戶的KYC資料大面積洩露導致大量用戶的隱私被侵犯,並且將加大用戶的資產安全風險。
事實上,這已經是近兩年來,幣安第四次重大的安全事故。
1)2018年3月7日,幣安API接口被黑客攻擊,黑客掌控部分用戶賬戶資金,爆拉小幣種VIA。
2)2018年7月4日,幣安API接口再次被黑客攻擊,黑客再次掌控用戶賬戶資金用於爆拉小幣種SYS。
3)2019年5月8日,幣安錢包被黑客攻擊,7000BTC被盜。
4)2019年8月7日,幣安數據庫被黑客攻擊,用戶KYC資料被盜。
作為全球頭部的數字資產交易所之一的幣安,接連爆發出重大安全問題,讓行業心驚。
相較而言,OKEx、火幣兩家交易平臺面臨的“安全可靠性不足”的攻擊主要集中在宕機問題方面。據不完全追蹤統計,2019年以來,OKEx 宕機類問題共出現3次;火幣宕機類問題共出現7次。其中,火幣相比於去年宕機頻次明顯增加,癥結應該在於其2018年底正式上線了合約交易產品,合約交易類產品對交易系統可承載併發量及穩定性的要求更高。
客觀來說,數字資產交易所的安全可靠性相較於傳統證券交易所仍有明顯差距。究其原因,一方面,數字資產交易所面臨的安全問題的複雜度確實更高,並且,相較傳統金融市場,數字資產交易市場的發展時間尚短,安全防禦的經驗相對少,有一定歷史侷限性。另一方面,也是更加本質的問題在於,IT領域永遠沒有絕對的安全,安全總是跟成本相對的一組概念。交易所的安全防禦成本投入過低,往往是爆發重大安全隱患的根本原因。
1. 數字資產交易平臺相較於傳統金融市場,面臨的安全挑戰的複雜度更高
1) 傳統證券市場每天交易時長平均為5小時,並且週六日閉市;但數字資產交易市場7*24小時交易,系統修復和升級的難度明顯增大。
2) 數字資產投資市場價值認同不充分,投資者的投資技巧和信心不足,交易行為容易更受到突發性事件的影響,交易量波動性非常大;這很大程度上加劇了交易量預期的難度,不利於交易所提前對部署冗餘服務器進行合理安排。
3) 傳統證券交易所為完全封閉的系統,數字資產交易所由於需要進行數字資產的鏈上交易,額外需要承擔區塊鏈錢包被攻擊以及一系列的連帶風險。
4) 數字資產交易所還需要額外應對其上線幣種背後的技術安全問題,僅2018年5月份,就先後爆出SMT、BEU等4個以上ERC20代幣的智能合約漏洞,BTG 、XVG等公鏈遭遇的51%攻擊,以及EOS節點被遠程控制的安全漏洞。
2. 頭部交易平臺更容易成為攻擊目標,應該投入更多的安全保障成本
安全是與成本是相對的一個概念,並沒有絕對的安全。
從內部來說,宕機問題的主要原因是交易所投入的運維服務力量不足,這其中包括服務器等硬件成本以及核心開發運維人員成本。舉例來講,假設在絕大多數交易時間裡,一個交易所繫統需要有效承載的最大交易併發數量為100萬,10臺服務器和30箇中高級的開發運維人員可以滿足;如果一個交易所毫不考慮投入產出比,全力保障安全性,它可以部署100倍服務器,並且招募3000個頂級的開發運維人員以實現支持1億交易併發量,那麼它會輕鬆實現0宕機故障。但是事實上,沒有一家商業機構會這麼做,這也是為什麼巨頭如淘寶,也會在雙十一的時候會宕機。各家交易平臺永遠在平衡,我是增加3倍的投入,來降低80%的風險,還是增加10倍,來降低98%的風險?
從外部攻擊來說,當黑客的攻擊成本大於其可能的獲益,黑客們將停止攻擊。相應地,交易所們不斷加強安全投入,正是在拉大黑客的攻擊成本,以降低黑客攻擊成功的可能性。要知道,當前全球有數百家交易平臺,但是大量的數字資產集中在頭部的交易平臺之中,故而黑客攻擊頭部交易所的動力最強。這也就意味著,頭部交易所必須投入更大的安全保障費用。
綜上,數字資產交易所在安全方面的確面臨更加複雜的挑戰,行業發展仍處在早期階段,並沒有積累到充足的安全事故防禦的經驗,我們不應該一味苛求交易所們完全沒有任何安全類的問題;但同時,行業用戶們也不應該包容諸如幣安的連續安全事故,畢竟目前大多數安全問題能夠通過事前加大研發和運維投入予以消除。
對於金融系統來說,安全性是生命線,一旦發生大額資產被盜的安全事故,將引發系統性風險。回想過去幾年之中,一旦發生了頭部交易平臺大規模被盜事件,都會不同程度引發BTC的下跌行情。數字資產交易平臺作為區塊鏈數字資產的核心命脈,不自律的後果不僅僅是自身的品牌受損,部分用戶的資產受損,更將引發全球大面積用戶對整個行業的質疑,阻礙行業的可持續發展。
數字資產行業正在快速邁入新的增長期,數字資產交易市場的資金量和用戶規模正在高速的增長,如果不能及時修補安全漏洞,不難想象的是,下一次安全問題的爆發將帶來更加慘重的後果。
