追問：加密貨幣交易所的安全問題解決不掉嗎？

也許你不喜歡加密貨幣，但你沒法忽視它。

自從第一款加密貨幣誕生到現在，它與現實世界的交集越來越大，據權威機構的統計，目前全球大約有一萬一千多家交易所，而且這個數量一直在不斷增長交易迅猛、幣種繁多，與此同時，加密貨幣暴露出的缺乏監管、安全性不足的問題也越來越明顯。

下表是今年以來公開的部分加密貨幣交易所被攻擊事件記錄

被攻擊時間

交易所

損失

2018年6月20日

Birhumb

3200萬美元

2018年6月10日

Coinrail

4000萬美元

2018年4月12日

Coinsecure

350萬美元

2018年3月7日

BitGrail

約7億元人民幣

2018年2月8日

一等獎

1.92億美元

2018年1月

CoinCheck

5.23億美元

安全事件頻發導致損失慘重，不管是看好加密貨幣和背後區塊鏈技術的長期投資者，還是想賺一把塊錢就走的投機分子，對加密貨幣安全性的需求也越來越高。

加密貨幣交易所為什麼這麼容易成為黑客的目標？是因為關於加密貨幣管理的法律不夠健全？還是因為它極高的價值讓人鋌而走險？還是因為它「不可追溯」的技術特徵？

內外因素共同導致高風險

加密貨幣之所以容易被黑客盯上，是內外雙重因素共同導致的。

從外部攻擊者的視角來看，加密貨幣交易所彙集了海量的資金，而相比於國家發行的法幣而言，幣所缺乏與其掌握資金相匹配的防禦手段和技術；再加上加密貨幣「良好」的匿名性，給黑產提供了套現和資產轉移極大的便利性，匹夫無罪懷璧其罪，幣所不被黑客盯上簡直沒有天理。

而從內部的架構來看，加密貨幣交易所的職能密集得有些不同尋常。在傳統的證券交易中，撮合交易的單位和之後的清算結算機構是相互獨立的兩個系統，同時還有行業、國家的第三方嚴密監管，通過分散職能也分散了風險。而加密貨幣的交易所集撮合系統、資金存儲、結算清算等等功能於一身（並且缺乏足以匹配體量的監管力度），一旦被攻破，全線業務崩盤也不是什麼難以想像的事情。

內部組織架構和職能過於密集，防禦技術和監管均不到位，並且體量巨大一旦攻破收益甚豐：如此情形不招來黑客簡直不科學。

黑客如何操縱人心和市場獲利？

黑客從加密貨幣中獲利，不僅僅是利用交易所的安全漏洞，更是利用了人性的弱點，操縱了市場和人心，引發幣值的劇烈變化因而從中取利。

無論是做空還是做多，都有類似的案例。比如去年的Wannacry事件中，勒索軟體指明了要比特幣，一定程度上影響了比特幣價格的大漲；而黑客利用攻擊導致市場產生恐慌出現砸盤現象，通過期貨市場提前做空盈利也是有先例的，比如幣安被盜一事，黑客盜取了大量的帳號，雖然風控系統攔截了，但此事仍然導致了幣價下跌，黑客完全可以通過其他交易所做空獲利。

現實世界的真實交易有著完善的風控系統和監管措施，對於金融風險有很成熟的應對措施，漲跌還是能夠反應市場價值的真實變化的。但是加密貨幣則不然，既缺乏監管的力量也缺乏監管的技術手段，即使有國家權力機構介入，短時間內也很難發揮出切實有效的執法力度。

對於幣所而言，加強風控和安全建設是不必多說的；而對於投資者，目前也只能多方了解各種幣的技術細節，去蕪存菁判別市場消息的真偽，辨明加密貨幣的真實價值，另一方面也是要保護好自己的私鑰，防範安全風險。

誰來保證加密貨幣的安全？

追根究底，加密貨幣交易體系的安全性不足，還是由於發展太快導致的。

畢竟區塊鏈這個概念從誕生到火熱，也不過短短數年，找到行之有效的安全解決方案時間本就吃緊，更不用說如今整個行業內魚龍混雜，投機客橫行，踏踏實實搞技術做研發的仍然是少數。

又因為發展過快，導致交易所對安全的重視程度也不足。區塊鏈概念的快速火熱對應著行情的劇烈變化，也促使了黑客的介入，導致被黑已經是行業內的「常態」；而頻繁被黑又促使行情本身的大起大落，更加刺激了投機行為，讓大家全都關注者漲跌，而忽視了基礎的安全建設。

首先是對交易所和加密貨幣的監管需要加強。目前整個市場還處於「野蠻生長」的狀態，權威部門對於這個新出現的事物還缺乏有效的監管方式，在政策法規上也處於還在探索的狀態，但這個狀態只是暫時的，相信不久這個市場就會得到有力的監管，把大量可以預防的風險提前排除在外。不僅是我國，全球大部分國家都已開始不同程度地推進該領域的監管工作，包括成立調查工作組，出台法規，建立行業規範和標準等。

其次是交易所要加強自身安全體系的建設。系統整體的安全離不開整體架構的科學性和安全性，更離不開其中每一個環節的安全性。為了更加全面和系統化地應對區塊鏈所面臨的安全問題，不僅要考慮技術架構中的每個層面面臨的安全風險，也要將安全方案融入區塊鏈開發的每一個環節中去。

通過代碼審計、滲透測試等安全服務，交易所可以從攻擊角度了解系統是否存在隱性漏洞和安全風險，特別是在進行安全項目之前進行的滲透測試，可以對信息系統的安全性得到深刻的感性認知，有助於進一步健全安全建設體系；審計完畢後，也可以幫助用戶更好地驗證經過安全保護後的網路是否真實的達到了預期安全目標、遵循了相關安全策略、符合安全合規的要求。

另一方面，交易所作為一個彙集了大量資金交易的中心，必然會有信息安全等級保護的要求，因此需要及時地完成等保測評，並部署安全措施符合相應等級的安全保護要求。安全狗依據國內相關的法律法規，比如《信息系統安全等級保護實施指南》、《信息系統安全等級保護定級指南》等要求，制定了一整套等保服務流程，可以滿足用戶的安全防護和等保合規需求。

我們將依據國家網路安全等級保護合規標準及安全狗最佳實踐，結合系統現狀出具等保整改或建設方案，幫助完善企業網路安全防護體系，提高信息系統的安全保障能力和防護水平，達到國家網路安全等級保護相關標準要求，促使企業業務信息系統安全、穩定並且持續運行。

互聯網產業發展的極高速度，讓誰都不敢忽視顛覆性技術的發展，更加不敢忽視背後的安全風險，通過專業的安全管理和防護策略來保障安全性，對區塊鏈技術的應用至關重要。安全是區塊鏈行業發展的先決條件，安全狗將依託專業的技術和服務力量，持之以恆地為用戶提供專業的安全產品和服務，滿足用戶的安全需求。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！