CEX和DEX:交易所的技术安全风险及赔偿机制

2021年8月10日， Poly Network的遭遇黑客，损失6.1亿美元；8月24日， Coinbase被报道遭遇黑客盗用加密货币钱包； 8月26日， ALPEX平台官方消息， 遭遇网络宕机， 事后，该交易所对遭遇损失的用户给予了全额赔款。

作为中心化交易所CEX和去中心化交易所DEX， 所存在的安全风险来自于监管和技术两方面。最重要的是， 作为合规的交易所，是如何应对及给用户提供完善的赔偿机制。

CEX 中心化交易所的DDoS安全风险

中心化加密货币交易所（CEX）的运营方式与传统货币交易所类似。 用户的数字资产委托给交易所管理。基于其中心化的性质，该类交易所受法规和机构监管， 并要求了解用户资讯（KYC）。

DDoS攻击，是一种分布的、协同的大规模攻击网络的方式，也叫分布式拒绝服务。 黑客入侵计算机网络，大量的信息和流量涌入网络服务器，令其超负荷， 导致网络中断， 在线服务系统当机， 投资者没法进入看市场行情和交易。2021年5月18日 Bitfinex报道称平台流量超载，用户无法访问平台， 所以怀疑遭到DDos攻击。 消息公布后比特币跌幅一度高达 2.2%。

网络钓鱼

近来不法分子网络钓鱼等诈骗频频出现。利用微信群、官方电报群（Telegram）、或推特（Twitter）账号发布钓鱼信息外等等。 8月12日， ALPEX在推特发文（见下图），指出不法分子冒用ALPEX名义开展诈骗行为，提醒用户警惕。 其中包括冒用ALPEX客服、大客户经理、商务、合作伙伴名义致电用户、添加微信，招揽用户进入假冒微信社群，进行带单直播或要求用户向某地址转入数字资产。更有不法分子冒充ALPEX工作人员以资产风控等借口，要求用户配合安全排查、解除账户风险/冻结。利用用户恐慌心理，骗取账号信息，或者诱导用户完成提币或转款。

新型SIM卡交换诈骗

据8月24日CNBC报道， Coinbase 发生用户受到SIM卡交换诈骗。?网络犯罪份子使用手机卡（SIM卡）来操控接管账户，通过电讯移动运营商操控一些用户的电话号码和SIM卡，拦截通过交易所短信发送给这些用户的验证码，接管他们的其他在线账户。根据推特显示，Coinbase曾多次发文提醒用户警惕。（下图）

ALPEX的网络宕机和完善的赔偿机制

8月26日下午13:40-14:36期间， ALPEX网站和APP遭受网络宕机， 造成页面无法打开以及无法进行交易。 该技术团队紧急排查排除了黑客入侵的因素，及时修复了故障，恢复了充提币和交易等功能。 该团队快速发布公告，对运行中出现的问题深表歉意，承诺ALPEX平台绝不存在所谓的插针、拔网线等恶意行为。同时， 团队会加强后续运营，尽可能规避网络宕机等问题，以为大家提供更好的交易体验。

对于由此受到损失的用户，该交易平台推出了完善的赔偿方案，并支付了所有的赔偿。 包括：按照最优于用户的价格计算；用户在App内联系官方客服进行举证后，由用户确认金额后开始赔付流程。 此举得到用户赞同，如同打了强心针，更加增强了信心。

ALPEX平台是如何实施安全系统保障的？

作为一个已经拥有国际三大金融牌照的交易平台，ALPEX除了遵循合规持牌，还注重系统和应用的安全研发、运行和监管。 主要体现在以下方面：

1， ALPEX平台采用完善的风控系统, 充分保障用户的资金安全；数据传输采用SSL加密，保障数据传输安全；并且采用的是交易与储存隔离机制，可以最大限度保障终端用户的操作体验和财产安全；

2，ALPEX平台采用的是多层架构部署。多层架构的设计大幅提高了系统的性能、安全性、稳定性和扩展性。功能部署、版本更新无需停机进行，最大限度保障终端用户的操作体验。

3， 该平台采用的多重安全防护技术， 依托去中心化链上资产托管存储，杜绝跑路；数字资产多链管理；增发冷热钱包存储完备的安全防护线，运行以来，出现0盗币事件。

4，该平台在稳固安全架构之外，还致力给用户提供极致体验。凭着面向SOA的超高扩展性， 打造极致流畅用户体验;

DEX去中心化交易所的智能合约安全风险

在去中心化交易所（DEX），用户对数字资产拥有更高的控制度。去中心化的交易以“智能合约”的形式实施，所有交易记录和数据都可在链上查询。 其公开透明、不可攥改和无法伪造的本质，加强了它的安全性。另外，用户直接保管“私钥”，即是对加密资产享有直接所有权。

8月10日Poly? Network 受黑客攻击事件暴露了智能合约漏洞。 根据coinbase的风险列表，其将十大智能合约风险（SCR）归纳为三类。

1. 操作风险： 当令牌网络治理不充分或有缺陷时，授权功能会被利用。比如，智能合约实现功能，允许进行超级用户帐号或权限管理、将特定地址加入黑名单或烧录功能、任意更改合约逻辑或资产配置等。

2. 实施风险： 包括允许特权角色的持有者单方面和任意地改变资产，也包括未经授权的转移，不正确的签名实现等。

3. 设计风险：被接受的系统功能被用来改变预期的智能合约行为。

简言之， 智能合约允许任何人透明地运行合约代码。所以，对此制定的安全措施之一是， 在部署智能合约之前，认真审查、识别及测试其可能潜在的安全漏洞，令其不容易受黑客攻击。

安全防范措施

监管方和交易所都可共同推动加密货币行业安全监管的进程建设。交易所方面， 定期的安全审计、系统更新和检测修补都是必要的，以杜绝任何给黑客利用漏洞的机会。 另外，需要建立完善的安全应急预案， 及时响应处置各类黑客攻击事件的发生；工作人员快速排查和修复，将损失减少到最低程度， 并且及时公布，都会有助于解决事件。

用户方面，谨慎分辨， 从官网上获取正确的平台公告和消息，而非经过第三方的网站和链接。及时留意自己账号是否有异常，及时采取更换密码等一系列措施。 另外，自从SIM卡事件发生之后， 更多人推崇使用加密币硬钱包。资产安全，重中之重。

参考资料

https://www.forbes.com/sites/seansteinsmith/2021/02/24/blockchain-based-decentralized-exchanges-are-growing-but-there-still-are-significant-risks/?sh=208236be1757

https://www.techradar.com/news/coinbase-customers-up-in-arms-after-hackers-drain-crypto-wallets

https://www.cnbc.com/2021/08/24/coinbase-slammed-for-terrible-customer-service-after-hackers-drain-user-accounts.html

https://blog.coinbase.com/top-ten-smart-contract-security-risks-47ecbe8af15d

查看更多

—-

编译者/作者：ALPEX_IO

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。