与黑客“掰手腕”的亚交所，凭什么造就“三年零丢币”传奇？

2019年以来，交易所被盗事件频繁发生，全球范围内，知名交易所丢币与信息泄露事件超过14起，被曝光的盗金额超过1.3亿美金，超过1亿条用户信息遭泄露。而实际被盗金额远超该数据。

钓鱼链接、安装包后门、API秘钥与2FA代码泄露、交易所底层漏洞、交易所二次审查漏洞、内部员工泄密等等，任何一项疏忽都有可能导致交易所陷入破产边缘。

面对如此强大的“黑暗力量”威胁，成立于2017年的TACU亚交所（亚元通证交易所，简称TACU），为何能造就上线3年零丢币传奇？加密世界又面临怎样严峻的安全形势？

1、上亿美金被盗，交易所安全形势不容乐观

“交易所不少都存在在大大小小的安全漏洞。”

近期，以擅长挖掘交易所漏洞著称的白帽黑客Chris_L在DVP大赛上这样说道。按照Chris_L的说法，加密货币交易所安全问题仍然十分严重，大多数漏洞都是交易所在“配置不当”导致的。

值得一提的是，2017年就上线运营的TACU亚交所（亚元通证交易所，简称TACU），在高手林立，黑客四伏的加密货币领域，上线至今从未发生过任何一起黑客盗币事件。

TACU亚交所成立于2017年11月，成立至今已有3个年头。TACU亚交所由亚洲数字资产交易有限公司，联合泰国皇室席琳荣颂亲王殿下、世界级会计师事务所共同创立，目前平台运营与服务均位于泰国。

白帽黑客Chris_L表示，“交易所漏洞很多，它们不太注重安全。通常情况下，9成漏洞是在没有意识的情况下暴露的，而现在交易所的漏洞，9成是因为配置不当造成的。”

大量出现的交易所安全事件印证了Chris_L的说法。

根据业内知名安全公司慢雾统计，2019年以来，知名交易所丢币与信息泄露事件就有14起，被盗金额超过1.3亿美金，超过1亿条用户信息遭到泄露。这些数据还是被媒体曝光的数据，据笔者调查发现，交易所实际被盗数量远远超过该数据。

其中，仅某韩国交易所2019年被盗事件，就造成价值1900万美元的EOS和XRP损失，成为加密货币史上第八大黑客攻击事件。业内知名的门头沟交易（Mt.Gox）所被盗事件，加密货币交易所被黑客攻击损失的资金总额超过上百亿，给投资者造成了巨大损失，至今依然在走司法程序。

根据加密货币数据网站CoinGecko在2019年的一份调查报告显示，交易所黑客攻击正变得越来越复杂。攻击手段包括钓鱼链接、安装包后门、API秘钥与2FA代码泄露、交易所底层漏洞、交易所二次审查漏洞、内部员工泄密等不一而足。

看来，交易所安全依然不容乐观。

那么，在如此严峻的交易所安全环境下，TACU亚交所究竟是如何做到“三年零丢币”的，TACU亚交所的做法又能够给其他交易所带来怎样的启发？

2、安全事件频发，TACU亚交所缘何独善其身

通过观察业已发生的交易所安全事件，可将众多交易所丢币事件分为三类：一类是平台自身的技术风控防御系统缺陷，黑客利用安全漏洞入侵平台偷盗加密货币；第二类是平台安全教育不到位，内部人员操作不当导致黑客入侵内部系统，或者内部人员配合黑客，里应外合达到盗币目的；第三类是交易所泄露客户信息，特别恶劣情况下，甚至出现恶意买卖个人信息现象。

对于第一种安全事件而言，黑客一般利用钓鱼链接、API秘钥与2FA代码泄露、交易所底层漏洞、交易所二次审查漏洞等等方式盗币。

对于第一种安全事件，TACU亚交所一方面与业内顶级的安全机构联手，对代码进行大量审计、渗透测试工作，保障用户的账户资产和信息安全。另一方面，TACU亚交所采用了分层确定性冷钱包和离线签名技术，采用“冷热隔离”机制，将95%的币值储存在冷钱包中，只预留5%用于提现等，以此增加安全性。

基于此，TACU亚交所至今从未发生过技术漏洞事件，反观其他交易所，这方面表现不尽人意。

以发生在2019年5月份，某顶级交易所被盗7047枚比特币为例，由于交易所本身安全漏洞，导致黑客能够获得大量用户API密钥与2FA代码，在比特币区块高度575012处从交易所热钱包中盗取了7074枚 BTC。按照当时比特币价格6000美金计算，这笔资产价值超过4000万美金。

再以2019年6月份，新加坡知名加密货币交易所被盗为例，黑客利用某交易所风险控制团队二次审查过程中的一个漏洞，攻击进入交易所热钱包，将930万XRP和250万ADA盗走，这些加密货币在当时价值300万美金。

除此之外，交易所安全教育不到位，也有会导致安全事件。

以2019年3月末，某交易所的一起交易所安全教育不到位导致的被盗案为例，在这起黑客事故中，客服从陌生人处获取并打开了一个带有后门的“交易软件”安装包，攻击者通过此安装包内后门获取内部人员权限，并渗透进内网进而成功获取加密货币钱包私钥。此次攻击导致交易所损失财产超过600万美元，对交易所几乎造成了毁灭性打击。

针对这类安全事件，TACU亚交所平建立了一整套安全反馈机制，从内网排查，到内部员工定时培训，再到一键向安全部门汇报可疑事件，将安全可能发生的黑客渗透降到了最低。

此外，交易所信息泄露事件也逐渐增多。

3、上亿条信息遭泄露，TACU亚交所保护客户信息有一套

2019年以来，逐渐增多的交易所客户信息泄露事件越成为人们日益关注的焦点。从白帽黑客Chris_L近两年挖掘的交易所漏洞的对比，可以看到，信息泄漏类的漏洞占比显著提高，从2018年的15.6%上升至2019年的27.3%。

值得一提的是，TACU亚交所始终将保护用户隐私放在第一位，自2017年上线至今，从未发生过泄露用户信息事件。

TACU亚交所之所以能够做到这点，是因为TACU亚交所在存储用户信息时，采用加密存储方法，避免用明文存储密码。此外还采用哈希算法加密密码与用户信息，针对敏感信息更是通过“加盐”提高安全性，达到与Google、阿里巴巴等全球知名互联网公司相同的安全等级。

反观区块链领域，信息泄露事件时有发生，也充分印证了Chris_L的研究。例如，今年2月份，某知名衍生品交易所遭前雇员窃取该平台用户信息，涉及8000多名用户。

再以今年3月份，一家加密投资基金遭遇重大数据泄露为例，这是加密货币领域遭遇的最新一起隐私泄露事件。网络安全公司DeviceLock的首席技术官Ashot Oganesyan表示，在该基金注册的约26.6万人的个人数据在该事件发生后被发布在多个文件共享网站上。Oganesyan还表示，被盗的数据库包括电子邮件地址、手机号码、加密密码和IP地址，在2月20日发布在网上，同时还公布了网站的漏洞描述。

回顾2019年，加密货币领域的信息泄露事件也时有发生。

2019年7月24日，专注于虚拟私人网络的网站vpnMentor发现，某家加密货币贷款平台超8600万条用户私人数据被盗，其中包括完整的个人身份信息、信用卡号码和信用卡验证值、银行账户信息，以及用户加密钱包和交易的详细数据。

时隔一日，2019年7月25日，瑞典某家加密货币交易所发布声明，表示其数据库问题导致部分用户敏感数据被泄露。曝光的信息包括姓名、地址、电子邮件地址和信用卡信息，涉及用户数量占交易所用户总数的2%。

在不到一个月之后，8月7日，国外知名交易所再次发生了“KYC”事件。

事件爆发之前，该交易所收到一位不明用户威胁，要求其以300个比特币的筹码，换取他声称掌握的关于Binance的1万个KYC信息。在没有马上拿到勒索款后，8月7日，Telegram备注名为“Guardian M”的用户开始向公众和媒体传播相关信息。目前该事件并没有下文。

当然，近期用户频繁收到打着各大交易所名义给用户打电话、加微信的现象，也充分说明交易所信息泄露并不是个别现象。

频繁发生的交易所信息泄露事件，让众多投资者不堪其扰，各出奇招应对。

“我弄了几张崭新的手机卡，准备每张手机卡注册一家交易所，做好标记封存起来，看看谁会卖掉我的信息。”某位币圈资深投资者在微博上这样说道。

出现这些现象的原因在于，相关涉事机构麻痹大意，在信息安全建设方面不愿投入。而TACU亚交所则恰恰相反，将用户资产、信息安全放在第一位。

4、TACU亚交所“三年零丢币”背后的故事：文化价值观使然

TACU亚交所之所以能够在短短两年时间取得如此成绩，是因为TACU亚交所始终坚守公平为先、安全至上、高效开路、服务客户的经营理念。

TACU亚交所倡导交易所公平为先，提出“公平对待每一笔订单”这一愿景。交易所报价实时对接国内外顶级交易所数据，确保交易价格的准确性，杜绝极端行情下的“探针”现象。

例如，在近期极端行情中，某交易所的Grin价格几乎“归零”，究其原因，就是交易所在价格控制方面不够专业。

作为高效倡导者，TACU亚交所成立至今做到了“零宕机”。TACU亚交所能实现单线程每秒10万+的撮合，使得TACU亚交所上线至今，从未停机维护，全程采用热更新，即便大行情来临也不受宕机影响。同时交易所提供丰富而安全的对外API接口，支持高频撮合交易。

作为人性化交易平台，TACU亚交所做到了“7*24小时人工客服”，外加一系列通俗易懂，适合所有投资者的教学，让初期交易的投资者也能快速入门，掌握交易诀窍。

在这些策略保驾护航下，交易者给出了众多好评。

“TACU亚交所交易极其顺滑，让人喜出望外。”币圈资深交易人士老谭表示。“客服小姐姐每次都很热情，就没见过这么专业的。”加密货币量化交易员这样说道。TACU亚交所骨灰级交易员屹坊认为“每年某安都会出幺蛾子，能把人吓死，但TACU亚交所安全我最放心，币都在平台存着。”

在这些策略保驾护航下，TACU亚交所在币圈早已立稳脚跟，并为平台发力卯足劲，展开双臂迎接即将到来的加密盛宴。

本文来源：区块链瞭望
原文标题：与黑客“掰手腕”的亚交所，凭什么造就“三年零丢币”传奇？

—-

编译者/作者：区块链瞭望

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。