抹茶周三见|交易所安全之路

在2019年内，全球共发生超过28起交易所安全事件，其中超过7成为交易所数字资产被盗，其余包括交易所跑路、交易所信息泄露及其他资产丢失事件，共计产生超过13亿美元的损失。

交易所频频被黑客“光顾”，除了资金方面的损失，更重要的是对品牌的伤害，如果被盗金额过大、处置不当，平台甚至会因此倒闭。2017年12月，韩国交易所Youbit就因被黑客攻击，导致近17%的加密资产被盗，最终不得不申请破产。

面对频发的安全事件，有人甚至评价，“交易所已成黑客提款机。”而每次只要发生安全事件，交易所是否可靠的观点又会再次被重提，作为投资者来说，如何判断一家交易所是否安全、靠谱呢？

3月11日晚20：00，抹茶周三见邀请了成都链安科技CMO Adolfo Gao，向我们解析黑客的几种常见盗币套路、以及用户和交易所该如何保护好自己的资产。

—— 以下是专访实录 ——

Q1、我们知道成都链安是一家从事区块链安全的公司，但是对于普通投资者来说，这个角色对比交易所、项目方、社区、媒体……更像是一个藏在幕后的关键辅助人员，大家并不太了解。因此能否简短介绍一下成都链安主要是做什么的呢？

成都链安科技是全球最早专门从事区块链安全的公司，由前海母基金，联想创投，复星国际，分布式资本等知名企业和创投战略投资，电子科技大学杨霞教授，郭文生教授，高子扬博士联合创立。

作为全球最早将形式化验证技术应用到区块链安全领域的团队，率先研发了全球领先的智能合约自动形式化验证平台VaaS，并基于此，建立了“一站式”区块链安全平台，为区块链企业提供安全审计（包括：底层链平台，智能合约，交易所平台，钱包，DAPP等）、资产追溯、隐私保护、安全咨询、威胁情报、安全防护等全方位的安全服务与支持。申请软件发明专利和著作权15项。

公司通过对全球近1000份智能合约和DAPP、几十家公链、联盟链、钱包（万向区块链，蚂蚁区块链，微众区块链、Neo、ONT、Celer等知平台）、近100家交易所（火币、OK等）的安全审计与防御部署，已经在区块链领域积累了丰富的安全攻防经验。

参与多个工信部组织的区块链安全标准的制定，入选工信部《2018区块链白皮书》，中国信通院可信区块链计划理事单位、区块链技术与数据安全工信部重点实验室理事单位，四川省区块链协会理事单位，荣获 “2018，2019中国区块链企业百强榜”，“2018，2019年度最专业安全服务机构”，“2019中国区块链安全领军企业”，“2019最佳区块链数据安全团队”等多项荣誉。申请软件发明专利和著作权15项。

让区块链更安全，是成都链安的使命和努力方向！

Q2、目前，交易所安全问题一直是各家重视的焦点，但却频频出现被盗的新闻，能否分析一下目前黑客有哪几种方法进行盗币？

通过对近期相关交易所安全事件的分析，我认为当前黑客主要的攻击渠道还是以下三种：

1、黑客对交易所的API进行的攻击尝试。

2、黑客通过鱼叉，水坑等方式尝试攻击交易所内部员工和管理人员的机器。

3、黑客通过钓鱼网站等方式尝试攻击交易所的用户。

Q3、而面临这几种盗币情况，成都链安一般如何保护交易所资产安全的？

交易所是距离用户资产最近的地方，一直以来也是黑客攻击的首当其冲的重要目标。因此，交易所的安全防护自然是重中之重的核心要素。作为区块链行业生态链条的重要一环，交易所的安全问题甚至直接决定了区块链行业生态的兴亡。

据成都链安统计，2019年全年因区块链安全问题而造成的损失总计超『60亿』美元；其中，交易所所面临的的安全风险则更为严峻。我建议：面对频频发生的黑客攻击事件以及愈发『高明』的黑客攻击手段，交易所各方应提高警惕，鸣响警钟，切实守住行业『生命线』，通过与专业的安全公司展开合作，加固安全防线，建立完善和全面的安全防护机制。

依托于成都链安领先的技术实力以及丰富的区块链安全攻防经验，可为交易所提供反洗钱合规、安全态势感知（威胁预警、报警和阻断）、安全顾问、渗透测试、漏洞挖掘、防御部署和威胁情报等全方位的安全服务，以帮助交易所构建起完善的安全保障体系。

迄今，成都链安已为已为近『100』家头部交易所提供安全审计与防御部署服务，专业的技术实力、全方位的服务和产品矩阵受到海内外数字金融企业的一致认可。团队申请软件发明专利和著作权达『15』项。

Q4、有哪些指标可以判断交易所安全的等级吗？是否越大的交易所越安全呢？在这一点上，您认为MXC抹茶的安全等级如何？

从安全的角度来看，交易所的安全等级主要体现在两个维度，技术的维度和人的维度，对于交易所来说，从内网架构，内网防护，业务逻辑到网站的一个简单验证是否做到安全都体现了交易所在安全建设上的等级，而从掌握资金权限的核心人员到直接对接广大外界用户的普通客服的安全意识和对相关安全知识的熟悉程度则直接体现了交易所安全运营的能力。我个人认为mxc对安全的重视态度是广为人知且不错的。

Q5、您认为对于交易所来说，保护用户资产安全最重要的是什么？

我认为最重要的交易所需要建设一套完整的资金内控系统，对每笔资金的出入都应该做好审核和记录，同时关键私钥和转账授权的防护也是重中之重。

Q6、您认为用户的资产是放在交易所更安全还是自己掌管私钥更为安全？

我认为两种方式各有优劣，我们一贯的建议是将资金分为交易资金和存储资金分开存放。

Q7、您认为作为一个普通用户，平时在交易所进行交易时，在安全方面需要注意什么？

我建议用户在使用加密货币时对于个人信息的保护应有较高的安全意识，我推荐最简单也易实行的安全手段是环境分割，比如建立专门用于操作资金转移或者交易的一套系统，包括手机，邮箱等，将生活和交易分隔开，用于操作交易所的手机环境应保证纯净，不安装任何不必要的应用，不用于通信，聊天，娱乐等与交易无关的活动。

Q8、在资产安全面前，您对交易所自身有什么建议吗？

我个人建议：

（1）、交易所要对系统安全体系有足够的重视，不仅要有合理的安全架构，更要对系统进行整体的安全测试，对于安全公司已经报出来的安全漏洞要及时自查，避免遭到同样攻击。

（2）、交易所要建立完善的风控应急预案，交易所无论技术多么成熟也可能百密一疏被黑客找到可以利用的漏洞，因此在交易所系统中，突发事件引起交易异常和资金被盗时，完善的应急处理机制和补偿机制就显得尤为重要，例如采取风险基金来应对出现的安全事故，或者为用户资金投保，来对冲数据泄露或盗币事件对用户资金带来的影响。

（3）、交易所项目方在难以对自身交易所系统进行全面的安全系统架构时，就需要考虑使用第三方的安全产品或与安全公司合作来共同打造交易所的安全交易环境和风控应急处理机制。

自由问答：

Q1、成都链安有以后开发硬件钱包的计划吗

暂时没有这样的计划 因为现在的硬件钱包厂商也挺多的 我们现在还是更愿意和他们这些钱包厂商合作，不过未来也许我们也会做一款硬件钱包产品?，因为在这方面我的两位合伙人比较有经验。

Q2、如果有交易所被盗币了，有什么办法可以追回吗？

我们有aml系统 大家可以关注一下，可以实时跟踪 查询被盗资金 并且出具证据链条 然后再和警方配合，大家有什么被盗币 被诈骗的情况 都可以联系我们，我们很愿意配合大家 追回资金。

Q3、网商银行这种没有实体的银行和区块链比起安不安全？

这两个不太好比较 不过可以把交易所和网商银行做比较 相对来说交易所风险更大?，因为交易所里面真实的钱在链上流转，而银行是有清算系统 其实是数字在变化

Q4、鱼叉攻击是什么？

鱼叉攻击通常是指利用木马程序作为电子邮件的附件，发送到目标电脑上，诱导受害者去打开附件来感染木马。

Q5、区块链的每笔交易都可以在链上找到? 那么是不是就一定能找回来被盗的呢？

主要的难点其实不是链上交易这块 主要被盗后要证明这个钱是你的 这个比较麻烦，因为链上交易信息是没有实名的，找回盗笔资金 还需要交易所的配合，因为很多被盗资金最终还是进入了交易所 。

—-

编译者/作者：MXC抹茶

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。