近日, 幣安遭駭客攻擊的事件再度將比特幣交易所推上了風口浪尖。
根據幣安自己的公告,駭客透過釣魚,獲取了一些英語語言區使用者的賬號、密碼和二次驗證,駭客獲得賬號後,果斷繫結了 API,但是由於 Binance API 提幣的風控措施級別高,釣魚網站無法提走這些賬號的幣。此後,駭客透過 API 支援的程式化交易拉高 VIA/BTC 交易對,將控制的賬戶在兩分鐘買入了大量的 VIA,試圖將所有盜取賬戶中的利益輸送到乾淨的賬戶中,由於異常交易狀況觸發了風控,系統自動停止提幣。此後,幣安又成功截獲輸送利益的幣並扣留了駭客的 VIA。
駭客看起來偷雞不成蝕把米。
不過,也有觀點認為駭客其實並沒有打算在幣安上面提幣,而是希望在其他交易所中賺錢:駭客可能已經提前在其他平臺上低價購入了大量 VIA,在幣安利用受害者的資產拉高 VIA 價格,待其他平臺的 VIA 跟著上漲後再丟擲 VIA 獲利;另外,駭客也可以在事件之前對比特幣做空單賺錢。
實際上,這已經不是比特幣交易所第一次遭受駭客攻擊了:
2014 年當時世界最大的比特幣交易所 Mt.Gox 被駭客盜走 85 萬個比特幣,並最終導致 Mt.Gox 破產;
2015 年初 比特幣交易平臺Bitstamp 遭遇駭客攻擊,價值 510 萬美元的比特幣慘遭洗劫;
2017 年 7 月,韓國交易所 Bithumb 就受到了駭客攻擊,3 萬多名客戶資料被洩露,每個客戶受到至少 10 萬韓元 (約合 87 美元) 的財務損失;
2017 年 12 月,韓國 數字貨幣 交易所 Youbit 受駭客襲擊,在損失了 17% 的總資產之後宣佈破產;
2018 年 1 月,日本最大 加密貨幣 交易所之一的 Coincheck 又遭遇了一起嚴重的駭客入侵事件 ,並造成了高達 4 億美元的損失。
而這類駭客事件直接將矛頭指向了這些比特幣交易所的“中心化”模式,人們紛紛質疑,為什麼去中心化的交易所還不來?
1、去中心化的比特幣,居然需要依靠中心化的交易所來交易?
比特幣因為去中心化的特點而廣受推崇。我們原先需要中心化的第三方金融機構(比如中央銀行)提供信用擔保才能交易,然而,中心化有很多問題,比如央行可以無窮無盡地印鈔票,掠奪你的財富;銀行可以限制你每天能夠提現的資金額度,甚至有可能強制沒收你的存款。
而比特幣則試圖擺脫掉這種信任。比特幣是一個完全脫離銀行,只依靠網際網路執行的貨幣系統,即使是政府執法部門,也無法查封或沒收比特幣;除非徹底關停網際網路,否則也無法封殺比特幣網路。
然而,就是這麼一種主打去中心化的產品卻需要依靠中心化的交易所來進行交易,這完全違背了比特幣技術去中心化的思想。但,為什麼會這樣呢?
而這其實就跟比特幣的交易確認有關了,據瞭解,比特幣的轉移需要在其底層的區塊鏈上記賬即產生新的塊 (block),而且,為了演算法安全的需要,一筆交易至少需要 6 個塊確認才算交易成功。然而,比特幣中每個新塊的產生需要 10 分鐘,這就意味著至少需要 1 個小時才能確認或交割。而且實際應用上,由於比特幣交易量的大幅度攀升,而網路算力卻依舊有限,使用者等待確認或交割的時間往往會更長,甚至 10 多個小時。
這對於那些對時效性要求並不高的交易而言可能無所謂,但對於去雜貨店裡買東西,等待 1 個小時甚至更久時間才能確認,這是不可想象的,尤其是對已經習慣了低延時的股票、外匯、期貨投資者而言,這些延時是很難接受的。
為此,人們將傳統交易所的機制運用到了先進的比特幣領域:交易所首先要賣方先把幣存在交易所,交割其實是內部賬戶數字之間的劃轉,因此可以實現秒到賬。
而目前比較大的幾個交易所如火幣網、幣安、雲幣網、OKCoin、Bitstamp 等無一例外都是中心化的交易所。
2、為什麼中心化交易所如此不安全?
憑藉區塊鏈以及加密技術,比特幣很難被偽造和盜竊。然而,因為比特幣的匿名性,比特幣的所有權並不關聯到具體個人,而是記錄在帳戶地址裡,誰擁有這個賬戶的私鑰,誰就可以使用這個賬戶的比特幣,並將其轉走等。因此比特幣本身其實也並不完全安全。
而在中心化的比特幣交易所中,安全隱患則更大,由於使用者需要先將自己的比特幣充值到交易所,然後在交易所裡集中交易、集中交割,即這類交易所並不涉及鏈上交易。
比特幣只是在交易所這個層面屬於使用者,從比特幣帳本的角度來看,全部歸屬於交易所,使用者也從未控制自己名義上的賬戶的私鑰。由於交易所集中了大量的帳號和資金,而且一旦被盜比特幣透過鏈上交易轉走,其損失又無法追回,因此駭客們總是把目標選定在比特幣領域也不足為奇了。
而根據 AI 財經社的報道,攻擊手法甚至跟網站被攻擊是一樣的:中心化交易所等伺服器上有各種軟體,可能存在被利用的漏洞,駭客甚至可以利用撞庫這樣的成熟且百試不爽的方法獲得大量使用者賬號密碼。
不過,中心化的交易所也有一個好處,由於可能不涉及鏈上交易,一旦出了錯,其是可以支援“回滾”操作的,比如這次幣安事件,幣安就回滾了與駭客控制賬戶之間的交易,不過,對於受到行情影響,正常賬戶之前的交易則不支援回滾。當然,這裡有一個前提,那就是駭客還未來得及將黑來的比特幣透過鏈上交易轉走。
另外,除了技術上的風險外,中心化交易所還有道德風險,面對鉅額的利益,掌握資訊優勢的交易所未必不會鋌而走險,比如人們就一直在懷疑久負盛名的比特幣交易所 Mt.Gox 存在著監守自盜的行為;同時,人們也一直在擔心交易所會利用資訊不對等,既當裁判員,又當運動員;大量的中小交易所如雨後春筍般冒出來,誰能保證這些交易所不會像 P2P 企業那樣跑路?
3、股票等傳統交易所為什麼不這麼受駭客“青睞”?
股票等傳統交易所其實也並不百分百安全,比如 2009 年,紐約證交所以及納斯達克公司等證實,其主網站遭到駭客攻擊,但是尚未影響到市場交易。2010 年美國 NASDAQ 股票交易所的中央伺服器又遭駭客入侵。實際上,傳統交易所遭駭客攻擊也是常有的事兒。
同樣是中心化的交易所,但與比特幣交易所相比,傳統交易所似乎安全多了,為什麼會這樣?
我們或許可以從股票開戶的流程中找到答案,以國內市場為例,要想炒股,你首先需要去證券營業廳開戶,然後再去銀行繫結銀行卡,你的資金其實是保管在銀行系統中的,與證券系統隔開了。這意味著即使駭客攻克並得到了你的股票賬號、密碼,賣掉你的股票,但得到的資金是直接存到所繫結的銀行卡里的,駭客想要這筆錢,就意味著駭客還要攻克銀行系統,或者想辦法拿到使用者的銀行卡賬號以及密碼。
總的來說,就是股票市場中,券商、銀行、結算機構等等都繫結在一個系統之下,攻破一個環節沒有威脅性,再加上嚴格的法律條文和國家級別的追查體系,駭客的攻擊成本巨大。 而比特幣等 數字貨幣 交易所的一個缺陷也是在於其承擔的功能過於集中,一旦攻克一個環節,則意味著全盤失守。
4、如何解決中心化交易所的弊病?
為了增強安全,火幣網、Bitstamp、Okcoin 交易所目前都採用了“冷錢包”方式存放比特幣,
冷錢包就是將 數字貨幣 進行離線下儲存的錢包,玩家在一臺離線的錢包上面生成 數字貨幣 地址和私鑰,再將其儲存起來,因此駭客很難進入冷錢包獲得私鑰。而需要進行交易的時候,可以把需要交易的貨幣量轉移到交易平臺。
比如,2015 年初 Bitstamp 就因為冷錢包而避免了價值 175 萬美元比特幣的丟失。當時,該平臺不幸遭遇駭客攻擊,價值 510 萬美元的比特幣慘遭洗劫,在緊要關頭,Bitstamp 迅速將剩餘價值 175 萬美元的比特幣存入冷錢包內。
然而,冷錢包也並非 100% 安全,據報道,100% 確保冷儲存所使用的私鑰不會出現在網路和你的線上電腦上,這是冷儲存技術的關鍵,如果做不到這一點冷儲存技術就毫無意義了。你必須將你的冷儲存錢包和你的線上熱錢包 (hot wallet) 分離使用,這種方式相對於交易頻繁的參與者來說過於麻煩。
因此,千萬不要將所有雞蛋放在一個籃子裡,數字資產最好能夠分散儲存。就連李笑來也表示他早在 2011 年就不敢將所有比特幣放在一個地址裡。不過,分散儲存也會帶來效率降低、成本提升到問題。
而對於道德風險,或許只能依靠政府的綜合監管了。
5、去中心化的交易所能否解決所有問題?
去中心化交易所建立在區塊鏈之上,因此,其的確可以有效提高平臺層面的安全性,攻擊者想要入侵去中心化交易所,將不得不獲取超過一半節點的控制權,這意味著資產被盜的可能極低(除非自己洩露的私鑰),但其除了有高頻交易方面的存在短板之外,去中心化的交易所依然還有很多問題需要解決,比如版本更新問題。
區塊鏈的不可篡改性在給陌生人之間創造信任的同時,也存在更新迭代難的問題,一旦底層架構設計好並且已長時間執行,再做大型的更改會較為困難。
實際上,市面上已經有諸如 Bitshares、CYBEX、0Xprotocol、AirSwap、Kyber、Etherdelta 等去中心化交易所了,而據瞭解,包括幣安等中心化交易其實也在佈局去中心化交易所。但需要注意的是,如果去中心化交易所的上述技術問題無法得到解決,去中心化交易所或許也很難真正普及。實際上,目前還沒有一個去中心化交易所是完美的,大家的交易量也都相對不大,難以與中心化交易所抗衡。
因此,去中心化的交易所還需要在實踐中不斷完善,畢竟去中心化的交易所相對於中心化的交易所還太年輕了。另外值得一提的是, 相關交易所方面人士告訴動點科技,去中心化的交易所可能存在著使用者更容易被釣魚的問題。
6、中心化與去中心化交易所,到底誰才是未來?
據瞭解,對於交易所,使用者主要關心三大問題:
交易能否零延時地確認、交割;
交易量是否足夠大,能否及時找到交易物件;
資產是否足夠安全。
而目前中心化交易所在前兩個問題佔具優勢,去中心化交易所則在安全性上更強大。
總的來說,目前中心化交易所具有更多的優勢,但問題是其至今沒能解決安全性問題,而且道高一尺魔高一丈,這種傳統的中心化平臺似乎永遠不可能絕對安全,而區塊鏈則給了一個更加安全的選項。但問題是,未來是否一定屬於去中心化交易所?目前動點科技所聯絡的幾個交易所人士都認為未來一定屬於去中心化。某交易所人士甚至表示:“不用討論了,絕對是去中心化。”
然而,比特幣大佬李笑來卻並不同意這個觀點,最近,李笑來甚至發文表示別整天拿著“去中心化”說事兒了。
李笑來表示,雖然他早在 2013 年便投資了去中心化交易所 Bitshares,但他其實並不看好所有“去中心化交易所”的專案。首先,李笑來認為去中心化天然與效率衝突;其次,他認為區塊鏈世界裡的交易所有幾千個了,而且還有另外幾千個正在準備開張,這其實已經是去中心化;最後,李笑來認為,所謂的去中心化,並不是“消滅所有的中心”,而應該是由“原本只有少量的大中心”,慢慢演化成“有大量的更小規模的中心”。
而對於李笑來的這個觀點,上述交易所人士稱:這要看怎麼定義“去中心化”,個人認為完全的去中心化是幾乎不可能實現的,但是一定會朝著越來越去中心化的方向發展,比如越來越多的交易所、交易所本身的股權去中心化以及交易所技術上的去中心化,總之大趨勢一定是朝著去中心化走。