如何防止数字货币交易所资产被盗

360董事长周鸿祎曾用毛主席的“地失人人失，地失人人得”来定义互联网产品与用户的关系。 有了用户，才会有收入，只关注收入的流失。 如果你失去了用户，你最终会“失去所有人和一切”。 数字货币交易所也是如此。

2018年12月，加拿大比特币交易平台“Quadriga CX”创始人兼CEO莱尔德科顿因旅行意外病逝。 伴随着他的离世，交易所资产冷钱包私钥存储在“Quadriga CX”中的近2亿美元加密数字货币已经不翼而飞，无法提现。

2014 年 2 月，负责 80% 以上比特币交易的比特币交易商 Mt.Gox 出现了提现问题。 一段时间后，Mt.Gox 宣布暂停所有交易活动，只在 Mt.Gox 网站上留下一个空白页面。 根据当时网上流传的一份文件显示，Mt.Gox 总共丢失了近 85 万枚比特币，其中包括 Mt.Gox 平台本身的 10 万枚比特币，以及多年来被黑客窃取的 744408 枚比特币和 85 万枚比特币。 硬币占总流通量的7%。 以当时比特币均价400美元计算，这一波损失约为4.7亿美元。

2012年3月和2012年5月，黑客利用Bitcoinica交易所网络服务器安全措施的漏洞先后两次发起攻击，盗取了6.1万个比特币，最终导致Bitcoinica破产。

一系列交易所盗窃事件频发，究其原因，“安全”问题迫在眉睫。 如何在便利交易的同时保证用户数字资产的安全？ 这是每次交流前的重要话题。 不仅要应对外部黑客攻击，还要关注场外卖空、私钥神秘丢失等事件。

传统交易所最初将交易所资产存储在交易所热钱包中。 一旦黑客突破安全防线，几乎所有的数字资产都会被盗走。

随着数字货币资产价值与日俱增，黑客窃取数字资产的动机也越来越强烈。 交易所如何处理类似的频繁事件？

首先，数字货币存储在冷热钱包中，类似于银行准备金系统，数字资产存储在不联网的冷钱包中。 满足日常交易的数字资产存储在热钱包中。 例如，2015年1月，黑客从Bitstamp的热钱包中窃取了19000枚比特币，并未影响交易所的正常运营，因为Bitstamp 90%的币都存放在冷钱包中。

其次，交易所通过设立投资者保护基金来保护投资者的财产。 2018年，火币网发行了全球通用积分HT，计划每季度拿出收益的20%在流通市场进行回购，回购的HT全部计入火币投资者保护基金，用于支付给火币用户。在平台出现意外风险时提前保护投资者权益。 2018年底，火币推出了投资者保护基金，用于补偿因COVA异常波动而受损的投资者。

2018年7月，币安宣布设立SAFU基金（Secure Asset Fund for Users，投资者保护基金）泰达币如何防止被盗，将全部交易利润的10%注入SAFU。 该基金将充当保险，“在极端情况下保护币安用户及其资产。” 2019 年 5 月，黑客利用安全漏洞从币安热钱包中窃取了 7000 个比特币，事发时价值约 4000 万美元。 币安宣布将使用SAFU资金全额赔付此次事件，以保护用户资金免受影响。

与利用交易所的安全漏洞窃取数字资产相比，更大的威胁是利用交易所的漏洞制造恐慌并从中获利。 2018年3月7日，黑客利用币安交易所的漏洞，将账户中的各种数字货币兑换成比特币，引发市场散户恐慌性抛售。 由于Binance在数字货币市场的巨大影响力，包括OKEx、Huobi、Bitfinex、Upbit在内的数字货币交易所的绝大多数币种都大幅下跌，黑客通过在这些交易所下单做空交易并获得巨额收益好处。 同时，黑客通过操纵账户用10000枚比特币在1小时内炸毁VIA（Vircoin），并在其他交易所交易VIA获利。 最终，仅威盛币一项，黑客仅获利4.2亿余元，全球数字货币市值在7小时内蒸发200亿美元。

笔者梳理了2012年至今的重大交易所安全事件，可见安全是交易所必须面对的长期问题。

每个企业在运作过程中都难免会有瑕疵。 面对问题，企业往往有两种解决方案。 一是千方百计掩盖问题、逃避责任。 我是交易的平台方，试图甩锅，最终引起公愤，网约车业务被下线。 一些企业选择正视问题，与用户充分沟通。 例如，滴滴今年的目标是等待时间长、车辆服务差。 ，做了两次吐槽大会，向滴滴用户解释了问题的原因和滴滴正在尝试的解决方案，获得了不错的口碑。

交易所面临的安全问题与滴滴面临的安全问题如出一辙。 出现安全问题后，一些交易所选择回避。 他们打着共克时艰的旗号，尽量让用户平分损失。 相信。

2014 年 3 月，刚开业两个月的 Poloniex 服务器被黑客入侵，盗取了其总资产的 12.3%。 Poloniex的做法是：暂时扣除每个用户余额中资产的12.3%，之后再恢复账户余额。

2016 年 6 月，当时价值 7200 万美元的 119,756 枚比特币被黑客从当时全球最大的数字货币交易所 Bitfinex 盗走。 具有讽刺意味的是，Bitfinex 升级了软件以提高交易所的安全性。 但升级后的软件存在漏洞，最终被黑客利用。 Bitfinex采用类似Poloniex的处理方式，由平台所有用户共享，即每一个在Bitfinex拥有账户的用户都会被扣除36.067%的资金，无论该账户中的比特币是否丢失或丢失。不是。 同时，Bitfinex 会给每个受损用户相应数量的 BFX 代币，每个代币可以替代 1 美元（相当于一张借条）。 平台将开放代币交易功能。 未来可以向Bitfinex赎回全部亏损，也可以选择换取Bitfinex母公司iFinex的股份。 尽管所有用户都反对这一决定，但Bitfinex通过营业额按月补偿客户，逐渐补足亏空，艰难生存。

但也有一些交易所直面问题，率先维护用户利益，并以此为契机，全面完善安全措施。

今年7月13日凌晨3点，多名用户向抹茶MXC交易所客服反映丢币。 抹茶团队连夜召开线上会议，首先调查事故原因，随后开始商讨用户损失的赔偿方案。

经查，此次盗窃并非技术攻击所致，主要是由于黑客攻击数据库，个人用户被非法钓鱼网站误导，导致账号泄露和币币丢失。

虽然这是用户安全意识导致的安全问题，但抹茶依然选择对涉事的20余名用户进行全额赔偿，总计超过100万。

随后，抹茶交易所升级了安全措施，强制用户绑定短信验证和谷歌验证。

抹茶还组建了一支由拥有10年以上开发经验的互联网和区块链技术专家领衔的安全技术团队，并与成都联安Beosin、北京联安、智造创宇等顶级安全机构达成合作，在交易中平台安全、安全威胁情报、资金安全防护、项目态势感知与安全风控、安全咨询咨询、数字资产溯源与反洗钱等。

在安全机制方面，抹茶安全团队实现了对交易所异常行为的7*24实时监控，利用“陷阱防御”系统在黑客攻击路径上布下陷阱，及时发现黑客。 并与合作伙伴建立每周一次的攻防演练机制，模拟黑客的DDoS攻击和渗透入侵泰达币如何防止被盗，提升抹茶交易所的安全能力。 同时，隔离重要的内网服务器，建立权限管控、账户权限回收等，防止权限过高导致信息泄露，并建立各种审计和监控，日志存储、处理、告警等。集中的方式。

360董事长周鸿祎曾用毛主席的“地失人人失，地失人人得”来定义互联网产品与用户的关系。 有了用户，才会有收入，只关注收入的流失。 如果你失去了用户，你最终会“失去所有人和一切”。 数字货币交易所也是如此。

或许我们可以从对待用户利益的态度来判断这个交易所的未来。