伊人狠狠-日韩av电影免费在线观看-国产在线观看-亚洲一区在线播放-亚洲性网-国产精品tv

        細數從前，不乏大型交易所被攻擊：2014年，Mt.Gox被盜85萬枚BTC，慘遭清算;2017年，韓國交易所Youbit遭受黑客攻擊，直接破產;2018年，日本最大交易所Coincheck遭黑客攻擊，損失5.3億美金。

        在ZB.com資深安全架構師楊總看來，交易所安全事件頻發的背后，不僅反映出數字貨幣交易所草莽生長的叢林環境現狀，也暴露出了去中心化架構下的區塊鏈資產生態的硬傷。

交易所的安全之傷

        作為區塊鏈資產的流量入口，錢包私鑰掌握著交易所的生命，對于交易所用戶來說，賬號決定一切。用戶賬號、交易所私鑰一旦失竊將可能無法通過管理手段找回財富。

事實上，區塊鏈資產保管存儲的安全性一直是監管部門所擔憂的。

        直到2018年10月美國監管部門批準Bitgo開展數字貨幣托管業務，為華爾街進入區塊鏈世界打開安全門，才掃除了美國議員對區塊鏈資產安全的擔憂。Bitgo托管業務獲批被認為是區塊鏈世界發展的重要標志事件之一。

        近日OTCBTC創始人親自撰文，細數交易所的致命安全風險。在她看來，除了資產保管安全外，與傳統交易所不同，數字貨幣交易所的風險還包括線上錢包、智能合約漏洞等威脅。

        現實情況下，很多小型交易所沒有冷熱錢包分離措施，或者就算冷熱錢包分離，也沒有嚴格執行定期分離的措施，導致 web 被入侵，錢包的錢在站上，同一組密鑰就被轉走。最后直接導致交易所破產。

        再者是上幣項目的智能合約漏洞，很多項目方的幣是基于 ETH 或 EOS 發的 Token，這些項目基于智能合約設計，智能合約出現漏洞，就很容易釀下大禍。不是項目方倒大霉就是交易所倒大霉。

        在金融行業，監管不僅僅對業務和規則的監管，還包括信息科技的風險管理。科技風險也作為操作風險反映在巴塞爾協議Ⅲ。一旦納入監管，如果出現數據回滾、停機事故、盜幣事件，交易所面臨的將是監管部門的巨額罰款、牌照吊銷、內部整改等嚴厲懲罰。

保衛交易所的生命線

        從Libra的波折經歷看，監管一直是區塊鏈業務發展達摩克里斯之劍。全面提升安全管理水平既是交易所發展的內驅，也是迎接全面監管的迫切需要。

作為食物頂端的交易所來說，滿足監管合規要求是交易所安全建設的必由之路。

        安全是個持續對抗的過程，魔高一尺道高一丈。安全又是一個繁復的工作，從架構設計到日常運行，細無巨細。

        作為行業早期開荒者，ZB、火幣、OKEX等老牌交易所已經運營五六年時間，從一開始就將資產安全視為生命線。他們的優勢在于，安全風控系統已經歷足夠用戶量級的檢驗。

        除了常規的系統安全設計外，老牌交易所的安全管理更為全面和扎實。

        針對錢包存儲的安全風險，ZB.com采用冷熱錢包隔離，多簽授權、黑名單等權限控制，同時還增加了人工校驗流程，對錢包余額、頭寸進行核實，其目的之一是提前發現內部人員內鬼行為。

在金融系統中，通常在營業結束后，也會對收付單據的余額、頭寸和系統進行比對，其原因也是為了及時發現內部違法或錯帳行為。這個措施和ZB.com采取的人工校驗錢包余額的措施，如出一轍。

        在全球系統安全走在前面的Coinbase、Kraken、BitMex還引入眾包安全評估Bug Bounty。

        Bug Bounty是為個人提供的在安全系統中發現錯誤，漏洞或錯誤的獎勵。這些程序為開發人員提供了發現錯誤，解決錯誤和防止廣泛濫用事件的機會。

        國際安全權威機構CSS建議每個交易所都必須有一個公開的，自我托管的Bug Bounty計劃。在理想的情況下，Bug Bounty程序應該在第三方的平臺進行(Hackerproof，Hackerone，Bugcrowd等)。

不可控的用戶生態

        從安全問題發生的部位分析，可以為交易所端和用戶端兩個場所。

        只要肯砸錢，肯招人，交易所端發生問題不難解決。針對內部管理問題，可以通過構建多層堡壘機制、建立相互制約機制、多層次審批等機制，針對黑客行為，可以收縮攻擊面、嚴控API接入，購買保險解決。

讓交易所老大難以入睡的是發生在用戶身上問題。用戶代幣被盜，即使被盜金額很小，如果處理不當，都有可能波及交易所聲譽，引發維權。

        業界知名安全風險師Tony分析：“用戶的安全意識薄弱，用戶電腦端、手機端使用環境的安全級別是引發用戶代幣被盜的原因之一。”

        為了最大限度避免用戶引發的問題，吃過虧的老牌交易所都很重視用戶身份認證的設計。

在真實世界，對用戶的身份認證基本方法可以分為這三種：

        (1) what you know ，你知道什么，比如用戶密碼、ID。

        (2) what you have ，你有什么 ,比如智能卡、Google認證。

        (3) who you are ，你是誰 ，比如指紋、面貌等。

在網絡世界中手段與真實世界中一致，為了達到更高的身份認證安全性，某些場景會將上面3種挑選2種混合使用，即所謂的雙因素認證。

        比如ZB.com交易所使用的雙重身份驗證(2FA)和通用第二因素(U2F)就是雙因素認證，具有較高的安全性。

        有些交易所在初期上線時，通常只提供基于用戶/密碼的認證方式，也即是第一種認證方式--what you know。ZB.com安全設計師徐先生認為：“只采用what you know的身份認證方式是最不安全的，容易受到暴力密碼攻擊、撞庫攻擊”。

        他解釋，交易所用戶安全機制應該全方面設計，除了技術上提高用戶端安全性外，ZB.com還建立了反洗錢機制，應對可能出現的非法資金進入及控制，利用大數據做交易行為和資產變化分析，識別具有洗錢傾向或其他違規行為的用戶。

        區塊鏈引發的資產代幣化催發了交易所的野蠻生長，游離于金融監管之外的交易平臺暫時沒有了監管的壓力，但這并不意味著可以在安全防范有所松懈。

《電鰻快報》