交易所经常被盗：我们需要了解的一些常识性防御

360董事长周鸿祎曾用毛主席的“地为人所失，人地亦失，地失人而人地皆得”来定义互联网产品与用户的关系。有了用户，就会有收益，只关注收益的损失。如果用户迷路了，最终“所有人都迷路了”。数字货币交易所也是如此。2018 年 12 月，加拿大比特币交易平台“Quadriga CX”创始人兼 CEO Lard Cotton 在一次旅行意外中病逝，连同交易所资产冷钱包的私钥一起存放在“ Quadriga CX”近2亿美元的加密数字货币如磐石，无法提取。2014 年 2 月，Mt.Gox，一位负责 80% 以上比特币交易的比特币交易员遇到了提款问题。一段时间后，Mt.Gox 宣布暂停所有交易活动，仅在 Mt.Gox 网站上留下空白页面。根据当时网上流传的一份文件显示，Mt.Gox 总共损失了近 85 万比特币，其中包括 Mt.Gox 平台本身的 10 万比特币，以及多年来被黑客窃取的 744408 比特币和 85 万比特币。硬币占总发行量的7%。按照比特币当时400美元的均价计算，这一波损失约为7亿美元。2012年3月和2012年5月，黑客利用Bitcoinica交易所网络服务器的安全措施分别进行了两次攻击，窃取了61,000比特币，最终导致Bitcoinica破产。

如何在方便交易的同时保证用户数字资产的安全？这是每个交易所面临的一个重要问题。不仅要应对外部黑客攻击，还要注意场外做空、私钥离奇丢失等事件。传统交易所最初将交易所资产存储在交易所热钱包中。一旦黑客突破了安全线，几乎所有的数字资产都被盗走了。随着数字货币资产价值的不断提升，黑客窃取数字资产的动机也越来越大。如何处理类似的频繁事件？首先交易所的币被盗能追回来吗，数字货币存储在冷钱包和热钱包中，类似于银行储备系统，数字资产存储在离线冷钱包中。满足日常兑换的数字资产存放在热钱包中。例如，2015 年 1 月，黑客从 Bitstamp 的热钱包中盗取了 19,000 个比特币，并未影响交易所的正常运营，因为 Bitstamp 的 90% 的币都存放在冷钱包中。其次，交易所通过设立投资者保护基金来保护投资者的财产。2018年火币全球发行通用积分HT，并计划每季度将收入的20%用于回购流通市场，回购全部HT。平台出现意外风险时，保障投资者权益。2018年底，火币推出了投资者保护基金，以补偿因COVA异常波动而受损的投资者。2018 年 7 月，币安宣布成立SAFU Fund（Secure Asset Fund for Users，投资者保护基金），将10%的交易利润注入SAFU。该基金将充当保险，“在极端情况下为币安用户及其资产提供保护。” 2019 年 5 月，黑客利用安全漏洞从币安热钱包中窃取了 7,000 个比特币，事件发生时价值约 4000 万美元。币安宣布，SAFU 基金将用于全额支付该事件的费用，以保护用户资金免受影响。来自币安热钱包的 000 个比特币，事发时价值约 4000 万美元。币安宣布，SAFU 基金将用于全额支付该事件的费用，以保护用户资金免受影响。来自币安热钱包的 000 个比特币，事发时价值约 4000 万美元。币安宣布，SAFU 基金将用于全额支付该事件的费用，以保护用户资金免受影响。

与其利用交易所的安全漏洞窃取数字资产，更大的威胁是利用交易所的漏洞制造恐慌并从中获利。2018年3月7日，黑客利用币安交易所的漏洞，将账户中的各种数字货币兑换成比特币，引发市场散户恐慌性抛售。由于币安在数字货币市场的巨大影响力，包括OKEx、Huobi、Bitfinex、Upbit在内的绝大多数数字货币交易所都出现了大幅下跌，黑客通过在这些交易所做空做空交易以获取巨额利润。同时，黑客利用10,000比特币通过操纵账户在1小时内炸毁VIA（Vircoin），并在其他交易所交易VIA获利。到底，

笔者梳理了2012年至今的主要交易所安全事件。可见，安全是交易所必须面对的长期问题。每个企业在经营过程中都难免会出现失误。面对问题交易所的币被盗能追回来吗，企业往往有两种解决方案。一是千方百计掩盖问题，逃避责任。我是撮合交易的平台方，试图甩锅甩锅，最终引发众怒，网约车业务下线。一些企业选择直面问题，与用户充分沟通。比如今年，滴滴针对等待时间长、车辆服务差的问题，召开了两次吐槽大会，向滴滴用户解释了问题的原因以及滴滴在玩笑中尝试的解决方案，并获得了良好的声誉。交易所的安全问题与滴滴面临的完全相同。当出现安全问题时，一些交易所以共克时艰的名义选择回避，企图让用户分担损失，不仅牺牲了普通用户的资产，也失去了用户的交易兴趣。信任。2014 年 3 月，刚开业两个月的 Poloniex 被黑客入侵服务器，窃取了其总资产的 12.3%。Poloniex 的处理方式是暂时扣除每个用户余额中资产的 12.3%，稍后再恢复账户余额。2016 年 6 月，当时全球最大的数字货币交易所 Bitfinex 遭到黑客攻击，窃取了 119,756 个比特币，当时价值 7200 万美元。讽刺地，

Bitfinex 采用类似于 Poloniex 的处理方式，由平台内所有用户共享，即每个在 Bitfinex 有账户的用户，无论是否有比特币，都会被扣除 36.067% 的资金在这个帐户中丢失。同时，Bitfinex 将给予每位受损用户相应数量的 BFX 代币，每个代币可兑换 1 美元（相当于一张借据）。平台将开放代币交易功能。未来，损失的钱可以从Bitfinex全额赎回，或者可以兑换Bitfinex母公司iFinex的股票。尽管所有用户都反对这一决定，但Bitfinex通过营业额按月补偿客户，逐渐弥补赤字，艰难生存。一些交易所直面问题，率先保护用户利益，并以此为契机，全面完善安全措施。今年7月13日凌晨3点，多名用户向抹茶MXC交易所客服反映丢币。抹茶团队连夜召开线上会议，调查事故原因，随后开始讨论用户损失的赔偿方案。经调查发现，此次盗窃并非技术攻击所致，主要是黑客闯入图书馆、个人用户被非法钓鱼网站误导，导致账户泄露、币丢失等原因。虽然这是用户的安全意识造成的安全问题，但抹茶还是选择了足额赔偿20多名涉及事故的用户，总计超过100万。随后，抹茶交易所升级了安全措施，强制用户绑定手机短信验证和谷歌验证。

抹茶还组建了由具有10多年开发经验的互联网和区块链技术专家领衔的安全技术团队，并与成都联安Beosin、北京联安、智创宇等顶级安全机构达成合作，保障交易安全平台。、安全威胁情报、金融安全防护、项目态势感知与安全风险控制、安全咨询与顾问、数字资产追踪与反洗钱协助。在安全机制方面，抹茶安全团队实现了对交易所异常行为的7*24实时监控，并利用“陷阱防御”系统在黑客攻击路径上埋设陷阱，及时发现黑客。并与合作伙伴建立每周攻防演练机制，模拟黑客的DDoS攻击和渗透，提高抹茶交易所的安全能力。高权限导致信息泄露。还建立了各种审计和监控，日志集中存储、处理和警告。360董事长周鸿祎曾用毛主席的“地为人所失，人地亦失，地失人而人地皆得”来定义互联网产品与用户的关系。有了用户，就会有收益，只关注收益的损失。如果用户迷路了，最终“所有人都迷路了”。数字货币交易所也是如此。