交易所老板的真实生活：遇盗惊魂，夜不能寐

自从开了交易所，每天睡不着，担心客户的资产被盗。

就连OK创始人徐明星，在创业初期也曾同样经历过这种心情。现在交易所的创始人们也不例外。

牛市来了，他们眼中最大的空头，可能是黑客。

毕竟趁牛市卖币赚得多。如区块链安全公司PeckShield(派盾）副总裁吴家志所言，攻击交易所的黑客，都是熟悉交易所系统、了解加密货币的一群人，因此卖盗来的币也讲究时机。“比特币站上8000美元之后，之前监控的黑客地址又开始活动了，其中的币经数度转手之后往往流入交易所套现。”

随着行情而来的，是交易所资金体量的成倍上涨。自然，这个兵家必争之地又成为创业者和资本追逐的热点，同时也成为了黑客的目标。

慢雾统计，2019年二季度以来，包括币安、Coinbase在内的近10家交易所已被黑客成功攻击，损失超7600万美元。

多家无名的交易所因被黑客攻击而关停，没有关停的，可能只是因为赔得起钱。

交易所们熬过了熊市的惨淡，却没躲过牛市的黑客。

盗币惊魂，创始人寝食难安

币创走了，留下一句“交易所的坑，实难为继”。令人感慨。

业内人士透露，在币安被盗7000枚比特币前后，不少交易所也惨遭黑客洗劫，因此而承受关停压力的小交易所不少。

AOFEX交易所将于8月12日上线ALGO与ATOM:据官方消息，AOFEX交易所将于8月12日15:00正式上线ALGO与ATOM，并同步开放ALGO/AQ与ATOM/AQ交易对。

Algorand（ALGO）用于提高区块链的效率，拓展区块链的应用前景。Cosmos（ATOM）是区块链跨链项目，目标是实现“区块链的互联网”。

AOFEX数字货币金融衍生品交易所，旨在为用户提供优质服务和资产安全保障。[2020/8/12]

一家小交易所的创始人，此后压力巨大。“虽然后来把窟窿填上了，但据说创始人自此之后常失眠睡不着，精神几近崩溃。坚持了几个月实在不行，遂决定关站。”

Cobo钱包高级副总裁李尧也坦言，跟中国目前几乎所有的交易所创始人都聊过了，如何让自己能睡好觉的确是普遍的诉求。其中一位交易所创始人我印象比较深刻，合作之前找过我们8次，一直在表达他们目前的处境，不断询问我们可以如何保护好他们的资产，那时他已经有一段时间睡眠不足4个小时了。

OK创始人徐明星曾经梦见有人绑架了他，让他交出比特币。投中网报道，在梦中惊醒的他，第二天重新设计了交易所的安全机制，将冷钱包密钥交给多人管理，建立异地备份。

每一个坐上交易所CEO位置的人，就好比突然获得王位的达摩克利斯。摆在他面前的，除了眼前的美酒佳人，还有王位上方仅用一根马鬃悬挂着的利剑。对于交易所而言，这支利剑就是随时面临的黑客攻击，亿万财富也可能在一夕之间拱手送人。

报告：长远来看韩国交易所大规模下线代币是正确的:根据最近的一份报告，Upbit已经在2020年将约17种代币除名或暂停发行，其中7枚代币也被Bithumb摘牌。这种大规模退市的主要原因之一是交易所和代币开发人员之间缺乏沟通。Upbit团队的一名代表表示，由于与项目技术团队沟通有困难，可能会出现技术支持方面的问题。流动性小，使得代币价格容易受到操纵。因此，为了保护投资者，而发出了投资警告。而Bithumb也曾发表过类似的声明。许多人认为这是一个积极的举措，因为这些加密资产中的很多并没有太大的实际需求，这也能改善人们对加密货币菱悦的总体观念。而同时根据监管要求，交易所对加密货币进行过滤是正确的。从长远来看，剔除多余的加密代币是有益的。（AMBCrypto）[2020/3/5]

“黑客和政策禁令一样，是交易所最关注的两大问题。”HB.top交易所创始人姚远坦言。

在每次发生盗币时，都会刺激姚远的神经。币安被盗的第二天，赵长鹏在线上直播中安抚用户、细述赔偿方案。“看得出他一晚上都很憔悴。发生了这种事，不得不买单。很担心发生在我身上。”姚远坦言。

别人的钱包不敢用，自己做的也不敢用

交易所每天需要准备足够的流动性资金用于提币。据业内人士透露，一些交易所走账、提钱，是几个创始人每天早上一起操作，“想想还是很手工的，战战兢兢的，一不小心钱没了咋整？”

分析 | 灰度以太坊持仓量持续下滑 主流交易所相关交易量保持稳定:据 TokenGazer 数据分析显示，截止至 11 月 20日 11 时，以太坊价格为$176.39，总市值为$19,157.84M，主流交易所24H交易量约为$72.57M，保持稳定；以太坊对比特币汇率轻微下滑；基本面方面，以太坊链上交易量保持稳定，链上DApp交易量有明显增长，新增地址增速有所加快，算力有明显下滑；以太坊 30 天开发者指数约为 2.24；以太坊与 BTC 180 天关联度保持稳定，30 天 ROI 持续下滑；据TokenGazer官网六道数据显示，灰度以太坊信托溢价、持仓量持续下滑；情绪指数移动平均线有一定抬头。[2019/11/20]

这样的仪式感，每天都在提醒，他们是行业最大的中心，也是最大的靶子。

“不止一个交易所创始人对我们说过，自己很担心、睡不着，然后也多次在交流中嘱托我们要做好检测，加强系统安全。”慢雾科技合伙人兼安全负责人海贼王告诉Odaily星球日报。

一位交易所领域的创业者表示，“中心化交易所对创始人的折磨其实挺大的，毕竟能赔的起钱的屈指可数。交易所要自己做钱包，别人的钱包不敢用，有的连自己人做的钱包也不敢用。”

创始人们的焦虑并非没有来由。据慢雾团队提供的数据，2019年二季度以来，包括币安、Coinbase在内的近10家交易所已被黑客成功攻击，损失超7600万美元。

动态 | 日本准加密货币交易所LastRoots接受第三方增资3.5亿日元:据PR TIMES消息，3月25日，日本准加密货币交易所（みなし業者）LastRoots召开临时股东大会，决定接受OKWAVE第三方增资的形式向其投资的3.5亿日元（约合2132万元人民币）。注：准加密货币交易所（みなし業者）为已向金融厅提交牌照申请且正在运营，但尚未完成审批的交易所。[2019/3/25]

每天，姚远都能从自家交易所购买的阿里云和亚马逊云上，看到分析日志中提交的恶意扫描和攻击服务器的报告。“看着很焦虑，我们不得不每天打起12分精神、谨小慎微的运营，反复查验系统的健康指标。虽然枯燥但很重要。”

在恐惧的支配下，一些头部交易所不惜重金挖掘资深安全人员。

“安全人员的行业平均工资，相比于同等资历的程序员通常高出一倍。对于有特殊能力的人甚至不设上限，给出的Offer超过老板也有可能。“吴家志告诉Odaily星球日报。

吴家志坦言，有段时间几个合伙人先后收到了猎头发出的Offer，“大家一交流才发现都是同一家头部交易所发出的”。

除了人员投入，还有钱包和托管服务等投入。根据Coinbase一年前公布的报价，其托管服务会一次性收取10万美元，在此基础上每月增加10个基点，而且要求客户的加密资产余额不得低于1000万美元。

日本大型虚拟货币交易所bitFlyer正在积极扩员准备进军海外:日本大型虚拟货币交易所bitFlyer正在积极扩大人员规模。目前正在积极聘用区块链专家以及具有金融经验的人才。并且在海外也在积极搭建新的据点。社长加纳裕三在采访中表示，交易所人员规模预计在半年内比现在扩大一倍。此外，他还表示正在讨论在亚洲以及非洲设立新据点的计划。[2018/5/10]

安全成本之高，确实不是一般的交易所能承担。曾有一家矿池想凭借已有的安全技术和流量开交易所，但算了下三年得给黑客准备几千枚币才能开得起，遂放弃。王大熊亦曾在微博表示，安全成本是选择关停的原因之一：“小团队开发资源极其有限，实在无法在保持功能进度的前提下，倾斜大量精力在安全上。”

交易安全的坑，数不胜数

交易所老板如此之高的安全素养，都是踩过的坑给教的。交易安全的历史上不乏前车之鉴，门头沟、Bitfinex被盗10万比特币的惊天窟窿，至今仍深刻影响着相关当事人。

1、耐心黑客卧底半年终收网

5月初，币安被盗。北京链安分析认为，问题出在了，币安内网遭到黑客长期渗透，由此轻松获取用户密钥及其他相关信息，进而将其中的币提走。

而在此之前的一个多月，DragonEx等平台刚被黑客组织Lazarus采取类似手法“渗透”。

据360安全专家介绍道，Lazarus通常会用半年的时间将交易所内部架构调查清楚，而后伪装身份与交易所人员进行长期的沟通交流。

“都是朋友了，谁会有那么强的防备心？”360安全专家介绍说。等时机成熟后便向交易所人员推荐加入恶意代码的自动交易软件等。交易所人员一旦中招，黑客便可在云端控制该台电脑，获得自己想要的信息和权限，为所欲为。

“从去年10月开始准备，终于在今年1月和3月收网。”耐心的Lazarus在收网时，仅DragonEx一家便获利4000万元。“面对这类长时间、精心设计的陷阱，大多企业都顶不住的。”360安全专家补充道。

2、挑安全人员意志薄弱时下手

平常的黑客，即使没有Lazarus如此耐心，为提高成功率，在前期测试好之后，也会埋伏至适当时机再下手。

姚远最不喜欢逢年过节，因为此时最是危险、要全力防着这些人。“黑客全年无休地盯着你个小金库，即使在大年初一初二也有人被盗。黑客还昼伏夜出，凌晨两点到五六点间也要有人值班监控。“故此，仅有10人团队的HB.top，安全人员就占了3个。”

3、不要随便吹自己安全做得多好

安全无小事，一出出大事。但仍有交易所忽略这条箴言。

安全行业从业者Ken告诉Odaily星球日报，交易所忌高调浮夸。有的交易所可能上线没多久，没出过问题，于是在社交媒体上吹捧自己的技术如何强大安全。

“什么？那我得挑战一下。黑客看到后很可能就来劲了。所以，安全事宜要默默做，用少漏洞、零损失说话。”Ken说道。

李尧也承认，被盗过的交易所和没被盗过的态度会相差很大。曾有位客户在被盗币后找到Cobo钱包，寻求安全方案，“他一次性的问了大概30多个问题，相当关注安全的各个细节。这就是认知上的区别。没踩过坑的交易所，相对关注便捷性和成本多一些的。”

4、被盗币还不知道为啥才最惨

风险预警只是安全攻防中的前半场，另一半场发生在黑客攻击后的处理能力，如处置妥当无疑能将损失降到最低甚至是零。

派盾团队有时会遇到被攻击的客户寻求帮助。这时令人头疼的是，知道被攻击的事实，却不知道问题出在了哪儿。

“刚开始从业的时候会觉得很懵、压力很大，有时需要连续熬个一两个夜才将问题排查好，后来慢慢习惯了。”吴家志表示。

去年7月，HB.top发现钱包中少了几百个USDT，于是迅速排查，发现有黑客在发动假充值攻击，也即黑客向交易所账户中假装冲入USDT，实际却利用交易所的机制漏洞，让黑客在数分钟内提现，于是造成了亏空。

发现问题后，HB.top立即对黑客账户进行排查，并调整机制，在核准到账记录后才开放提币，由此阻击了黑客更大金额的假充值。

后来的事实证明，黑客的这种“创新”攻击手法，将大量交易所攻陷了，某些交易所为此损失多达数百万USDT。

总结起来，很多从业者都认为，在交易所安全的各个环节里，最脆弱的是人。

首先是当老板的安全意识有多高，在私钥保存时愿意相信的人的范围有多大。其次，在安全投入、机制设置和安全教育上有没有做到位。

正如姚远所言，人性薄弱的地方，就应该用制度来约束。譬如一些公司设置了内外网关卡，实行网断隔离，还规定所有员工均需安装杀软件、不要点开未知链接，等等。

丢币不可怕，可怕的是交易所没钱赔

交易所自身安全，是一方面；资产安全的另一方面，则是交易用户。

上述创业者认为，用户在选择交易所时并不会太多评估其安全性如何，毕竟大所也会被盗。

那么用户主要看什么呢？

关键是看交易所在丢币之后能不能赔得起这个钱。这个涉及到交易所是否设立盗币赔付基金，并在攻击发生后的行动。若交易所赔付金准备到位，被盗币也有可能为品牌价值锦上添花。“大交易所安不安全我不知道，但是我知道他不会跑路。”

目前来看，大小交易所在丢币后都倾向于全额赔付。

但在安全从业者看来，有一类交易所的安全性会让人颇为顾虑——那些突然间火起来的交易所黑马。

很多交易所早期并不注重安全防护，在快速发展起来后也容易成为黑客眼中的EasyGirl。我们看到，3个月以来，抹茶等交易所新贵就曾先后被黑客攻击。

吴家志坦言，相比于两年前，现在从业者的安全意识和防护技术确有提高。部分交易所甚至购买了价格不菲的服务，譬如托管钱包和AWS的密钥托管服务等。

在多措并举的情况下，我们可以看出被盗交易所的数量明显下降。

数据来自：慢雾

但安全从业者都知道，人造的系统有各种被攻克的可能。换言之，安全问题乃是交易所的阿喀琉斯之踵，会伴随行业永远存在。

标签：以太坊BIT加密货币区块链ETH以太坊今日行情bitGet交易所加密货币局话术区块链技术通俗讲解小区

LTC热门资讯