当前栏目:区块链

交易所风控之道

2020-02-14 12:45:38    文/来自宁夏回族自治区银川市的网友投稿

本文由:5330xm编辑发布

来源: 区块链-腾讯网 279

导读:本文是来自宁夏回族自治区银川市的网友投稿,由5330xm编辑发布关于交易所风控之道的内容介绍

数字货币成为投资新靶标,也成为众多黑客眼中的肥肉。

细数从前,不乏大型交易所被攻击:2014年,Mt.Gox被盗85万枚BTC,惨遭清算;2017年,韩国交易所Youbit遭受黑客攻击,直接破产;2018年,日本最大交易所Coincheck遭黑客攻击,损失5.3亿美金。

在ZB.com资深安全架构师杨总看来,交易所安全事件频发的背后,不仅反映出数字货币交易所草莽生长的丛林环境现状,也暴露出了去中心化架构下的区块链资产生态的硬伤。

【深链原创】

文丨宋莫

交易所的安全之伤

作为区块链资产的流量入口,钱包私钥掌握着交易所的生命,对于交易所用户来说,账号决定一切。用户账号、交易所私钥一旦失窃将可能无法通过管理手段找回财富。

事实上,区块链资产保管存储的安全性一直是监管部门所担忧的。

直到2018年10月美国监管部门批准Bitgo开展数字货币托管业务,为华尔街进入区块链世界打开安全门,才扫除了美国议员对区块链资产安全的担忧。Bitgo托管业务获批被认为是区块链世界发展的重要标志事件之一。

近日OTCBTC创始人亲自撰文,细数交易所的致命安全风险。在她看来,除了资产保管安全外,与传统交易所不同,数字货币交易所的风险还包括线上钱包、智能合约漏洞等威胁。

现实情况下,很多小型交易所没有冷热钱包分离措施,或者就算冷热钱包分离,也没有严格执行定期分离的措施,导致 web 被入侵,钱包的钱在站上,同一组密钥就被转走。最后直接导致交易所破产。

再者是上币项目的智能合约漏洞,很多项目方的币是基于 ETH 或 EOS 发的 Token,这些项目基于智能合约设计,智能合约出现漏洞,就很容易酿下大祸。不是项目方倒大霉就是交易所倒大霉。

在金融行业,监管不仅仅对业务和规则的监管,还包括信息科技的风险管理。科技风险也作为操作风险反映在巴塞尔协议Ⅲ。一旦纳入监管,如果出现数据回滚、停机事故、盗币事件,交易所面临的将是监管部门的巨额罚款、牌照吊销、内部整改等严厉惩罚。

保卫交易所的生命线

从Libra的波折经历看,监管一直是区块链业务发展达摩克里斯之剑。全面提升安全管理水平既是交易所发展的内驱,也是迎接全面监管的迫切需要。

作为食物顶端的交易所来说,满足监管合规要求是交易所安全建设的必由之路。

安全是个持续对抗的过程,魔高一尺道高一丈。安全又是一个繁复的工作,从架构设计到日常运行,细无巨细。

作为行业早期开荒者,ZB、火币、OKEX等老牌交易所已经运营五六年时间,从一开始就将资产安全视为生命线。他们的优势在于,安全风控系统已经历足够用户量级的检验。

除了常规的系统安全设计外,老牌交易所的安全管理更为全面和扎实。

针对钱包存储的安全风险,ZB.com采用冷热钱包隔离,多签授权、黑名单等权限控制,同时还增加了人工校验流程,对钱包余额、头寸进行核实,其目的之一是提前发现内部人员内鬼行为。

在金融系统中,通常在营业结束后,也会对收付单据的余额、头寸和系统进行比对,其原因也是为了及时发现内部违法或错帐行为。这个措施和ZB.com采取的人工校验钱包余额的措施,如出一辙。

在全球系统安全走在前面的Coinbase、Kraken、BitMex还引入众包安全评估Bug Bounty。

Bug Bounty是为个人提供的在安全系统中发现错误,漏洞或错误的奖励。这些程序为开发人员提供了发现错误,解决错误和防止广泛滥用事件的机会。

国际安全权威机构CSS建议每个交易所都必须有一个公开的,自我托管的Bug Bounty计划。在理想的情况下,Bug Bounty程序应该在第三方的平台进行(Hackerproof,Hackerone,Bugcrowd等)。

不可控的用户生态

从安全问题发生的部位分析,可以为交易所端和用户端两个场所。

只要肯砸钱,肯招人,交易所端发生问题不难解决。针对内部管理问题,可以通过构建多层堡垒机制、建立相互制约机制、多层次审批等机制,针对黑客行为,可以收缩攻击面、严控API接入,购买保险解决。

让交易所老大难以入睡的是发生在用户身上问题。用户代币被盗,即使被盗金额很小,如果处理不当,都有可能波及交易所声誉,引发维权。

业界知名安全风险师Tony分析:“用户的安全意识薄弱,用户电脑端、手机端使用环境的安全级别是引发用户代币被盗的原因之一。”

为了最大限度避免用户引发的问题,吃过亏的老牌交易所都很重视用户身份认证的设计。

在真实世界,对用户的身份认证基本方法可以分为这三种:

(1) what you know ,你知道什么,比如用户密码、ID。

(2) what you have ,你有什么 ,比如智能卡、Google认证。

(3) who you are ,你是谁 ,比如指纹、面貌等。

在网络世界中手段与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面3种挑选2种混合使用,即所谓的双因素认证。

比如ZB.com交易所使用的双重身份验证(2FA)和通用第二因素(U2F)就是双因素认证,具有较高的安全性。

有些交易所在初期上线时,通常只提供基于用户/密码的认证方式,也即是第一种认证方式--what you know。ZB.com安全设计师徐先生认为:“只采用what you know的身份认证方式是最不安全的,容易受到暴力密码攻击、撞库攻击”。

他解释,交易所用户安全机制应该全方面设计,除了技术上提高用户端安全性外,ZB.com还建立了反洗钱机制,应对可能出现的非法资金进入及控制,利用大数据做交易行为和资产变化分析,识别具有洗钱倾向或其他违规行为的用户。

区块链引发的资产代币化催发了交易所的野蛮生长,游离于金融监管之外的交易平台暂时没有了监管的压力,但这并不意味着可以在安全防范有所松懈。

本文地址:http://m.zhubo999.com/qukuailian/677387.html

声明:本站原创/投稿文章由5330xm编辑发布,所有权归主播科技网移动端所有,转载务必注明来源;文章仅代表原作者观点,不代表主播科技网移动端立场;如有侵权、违规,可直接反馈本站,我们将会作删除处理

7条评价

来自黑龙江省双鸭山市的热心网友评价:
太好看了
来自内蒙古自治区牙克石市的热心网友评价:
来自河南省长葛市的热心网友评价:
加油
来自安徽省淮南市的热心网友评价:
被深深吸引
来自浙江省临安市的热心网友评价:
今天一直在追!!
来自山西省大同市的热心网友评价:
学习了
来自陕西省华阴市的热心网友评价:
顶顶顶
来自河北省保定市的热心网友评价:
添砖加瓦
来自贵州省兴义市的热心网友评价:
Mark一记、慢慢再看

相关推荐

本站热点