中心化交易所频暴雷,如何搞定加密资产托管「行业黑洞」?

链闻速递 2019-02-04

近日,区块链行业上演了一出扑朔迷离的资产安全事故。

加拿大最大比特币交易所 QuadrigaCX 创始人 Gerald Cotten 去世, QuadrigaCX 欠下客户 2 亿美元,其中包括约 1.47 亿美元加密数字货币,而这些加密数字货币的密钥,生前只有 Gerald Cotten 掌握。伴随着他的去世,“1.47 亿美元”被上锁。

据最新消息,Kraken 交易所首席执行官 Jesse Powell 发推称,已掌握 QuadrigaCX 的数千个钱包地址。有网友分析认为,“也许创始人根本没有死,现在正持有巨款逍遥法外。”

无论真相如何,这起事件再次暴露出加密资产行业一个致命的问题 : 由于加密资产的特殊属性 , 拥有密钥即掌控资产。无论 10 美元还是 10 亿美元,所对应的都是一串由数十个字节组成的私钥。一旦用户把资产转账给了别人,原则上就失去了资产的控制权,存在极大的安全隐患。

中心化交易所频暴雷,如何搞定加密资产托管「行业黑洞」?

2017 年,在区块链行业巅峰期,加密资产总市值一度飙升到 7000 多亿美元的历史高点;即使如今步入熊市,行业市值也达到了 1146 亿美金。数额如此庞大的加密资产,托管方式却令人堪忧,有相当大一部分的加密资产被存储于中心化的钱包,交易所和项目中。

目前,加密货币资产的存放方式主要有三种,分别是数字货币钱包(包括硬冷钱包、热钱包)、第三方托管及交易所托管。

第一类为个人钱包。即用户将资产存储在 imtoken,blockchaininfo 等在线热钱包 App 中,或是单独的硬件冷钱包中。冷钱包的私钥不接触网络,安全系数更高。然而随着技术的迭代,冷、热钱包都成为黑客攻击重灾区。据统计,2018 年因为钱包安全而损失的金额在 4000 万美元左右。这其中,大部分是黑客通过各种手段获取到用户私钥,导致资产被盗,因用户密钥管理不善导致资产丢失的也不在少数。个人电脑、手机的信息安全是关键所在,然而大多数用户并不具备相应的安全意识和风险控制能力。

第二类为第三方托管机构。随着数字货币资产对实体经济的影响越来越大 , 数字货币资产托管这块肥肉引来传统金融机构争相入场,高盛、摩根大通、纽约梅隆银行等多家华尔街巨头已经开始探索开发数字托管服务。然而银行依然是一个靠人治理的中心化金融机构,因此也存在一定风险。且由于每次交易都要通过银行的托管流程,交易流程不够高效。

第三类为中心化交易所。这是目前大多数用户选择的资产存储方式,却也是安全隐患最为明显的。当前全世界有 1 万多家加密货币交易所,其中大多数都为中心化交易所。在中心化交易所,私钥的持有者也是资产的所有者——这与加密资产行业的基本原则背道而驰,也为交易所挪用用户资产、恶意爆仓提供了土壤。

目前,区块链行业发展尚处于早期,交易所从业人员缺乏有效约束,且行业尚未纳入监管,用户的资产存放在中心化交易所里缺乏保障,面临内部运营风险、黑客攻击风险、商业道德风险、资产盗用等多重风险。这直接导致了散户投资者占据加密货币市场的主流,而鲜少有机构玩家入场。在一个资产托管机制尚不健全的金融市场,机构玩家只能望而却步。

从 2014 年门头沟事件算起,一起又一起触目惊心的资产安全事件此起彼伏,“去中心化”是加密资产乃至区块链行业头顶上最耀眼的标签,然而整个行业却因中心化交易所的种种问题饱受争议——这几乎是一种讽刺。据不完全统计,累计超过 16 亿美金的加密资产遭遇被盗的命运。

交易所安全事故频发,超过 16 亿美金加密资产被盗

2013 年 11 月,据澳大利亚广播公司报道,当地一位 18 岁的青年称,自己运营的比特币银行被盗,损失了价值 110 万美元的 4100 个比特币,但是由于担心失去比特币所有权,他又不敢向警方报案。据了解,这位青年用自己的电脑开设了一家比特币银行,名为“Tradefortress”。

2014 年 2 月,总部位于日本的 Mt . Gox 交易所被黑客盗取了 85 万枚比特币,约占世界比特币总量的 7%,按当时汇率估计约值 4.73 亿美元,这一损失直接导致 Mt. Gox 破产倒闭;3 月,一家比特币银行 Flexcoin 遭到攻击,黑客抢走了存在热钱包的 896 枚比特币,这些比特币当时价约 58.7 万美元,由于 Flexcoin 无力承担这一损失,只好关门大吉。

2015 年 1 月,总部位于斯洛文尼亚的 Bitstamp 交易所在一次攻击中被盗取了 19000 个比特币,价值 540 万美元,导致公司被迫停止交易;2 月,国内著名的山寨币交易所 bter.com 发出被盗信息,在事件处置中交易所暴露出安全性严重缺失,POS 币钱包在线安全隐患严重等问题,最终被黑客盗取了 110 个比特币。

2016 年 5 月,总部位于香港的 Gatecoin 在一次网络攻击后损失了大约 200 万美元的比特币和以太币;6 月,当时使用以太币融资的、最引人注目的风险投资基金项目被黑客袭击,价值大约 5000 万美元的会员基金被卷走;8 月,世界领先的比特币交易所 Bitfinex 遭遇了一次巨大的“灾难”。当时因为安全漏洞,遭受网络黑客的 DDOS 攻击,总计有 119756 枚比特币被盗,约约 7000 万美元。

2017 年 4 月,韩国知名加密货币交易所 Yapizon 发表公告,黑客成功入侵其系统并劫持了四个独立的数字钱包,盗取个 3800 比特币,约占 Yapizon 业务总资产的 37%;11 月:太坊钱包 Parity 被黑客攻击窃取了 15.3 万以太坊之后,再次被曝光存在安全漏洞,导致价值数亿美元的以太坊被冻结;12 月,挖矿服务器 Nicehash 被黑客入侵,超过 4000 个比特币被盗,好在 Nicehash 处理非常得当,第一时间对被盗用户进行了退款并及时修补了漏洞,挽回了一定的损失,几周后,服务器重启。

2018 年 1 月,日本最大的交易所之一 CoinCheck 遭遇黑客攻击,损失达 5.23 亿美金;3 月,三大头部交易所分别遭受不同程度的攻击:火币遭受 DDoS 攻击,攻击者操作币市,通过做空单获利约 1.1 亿美元;OKEx 出现将近 1 个半小时的极端异常行为,BTC 季度合约一度比现货指数抵触 20 多个百分点,最低点逼近 4000 美元,约有 46 万枚比特币的多头期货合约爆仓,跌到最低点后期间又拉涨 10 几个点,部分空头也被爆仓,OKEx 随即宣布对异常交易回滚;3 月 7 日,Binance 遭到黑客入侵,黑客通过控制币安部分账户,卖出这些账户持仓的比特币,买入 VIA 币,导致 VIA 逆市大涨。币安将异常交易进行了回滚处理,但此事件依然引起市场恐惧,随后几天比特币跌幅超过 15%。

中心化交易所“暴雷”的几率呈逐年上涨趋势,据 TokenInsight《交易所行业 2018 年度报告》显示 ,2018 年是交易所资金被盗最为严重的一年,仅上半年被黑客窃取的加密资产价值总额就超过 7.31 亿美元,超出 2017 年被盗总额的 3 倍以上。

针对上面的这些安全问题,市面上到底有没有一个最好的最安全的解决方案?

当前的三种解决方案

“资产托管”问题已成为行业发展的黑洞,目前行业中的解决方案主要有以下三类:

第一,政府监管+传统金融力量入场

一些对数字货币持拥抱态度的国家,如美国、澳大利亚及中国香港,均将数字货币纳入现有的证券监管体系,通过原有的证券监管模式进行监管。多国在加密资产托管方面进行了有益的探索。据笔者归纳,主要有以下几种方法:

1,认证托管机构 + 多重签名方式

2018 年 9 月,加密货币安全公司 BitGo 在美国获得监管机构批准,可为机构客户提供加密资产托管服务,成为美国本土第一个拿到国家监管部门的合规牌照——这意味着,该公司为机构客户提供加密资产托管服务获得了金融部门的许可,它将定期接受美国监管部门严格的客户(KYC)和反洗钱(AML)审核,还要接受财务审计和月度信息披露等等。

据 BitGo 网站,目前可托管的币种包括 BTC 及其分叉币、ETH、XRP、ELF、ZRX 等 70 余种。除 BitGo 之外,这一领域的主要参与者还包括 Coinbase、Primetrust,以及 State Street,Northern Trust 等老牌托管服务公司。

有业内人士提出,诸如 BitGo 这样的认证托管机构,再加上使用由用户控制私钥的多重签名方式,可能是一种长期有效的方式。这种方式将阻止任何滥用用户资产的行为,要求托管方采取完全不同的商业模式,同时这也将保障资金安全以免遗失或被盗。”

除美国外,日韩等国也开展了通过认证机构进行资产托管的探索。在韩国,最大的金融机构新韩银行在 2017 年就已经宣布开展数字资产托管业务,面向对象也是机构投资者;日本野村控股与数字货币公司 Ledger 和 Global Advisors 联合创办了一家名为 Komainu 的托管财团,也计划进军这一市场。

2,为加密资产上保险

随着数字货币资产对实体经济的影响越来越大,XL Group、美国国际集团(AIC)、美国丘博保险集团 (Chubb)等多家全球知名保险公司推出加密数字货币保险,悄悄为虚拟数字货币“保驾护航”,试图达到与传统金融机构相同的保险保障水平。

据 cointelegraph 援引彭博社报道,声称占据加密保险市场 50%份额的主要保险经纪商 Aon 表示,该公司正在看到更多专门针对加密行业的保护措施。然而加密相关公司的保费可达到传统公司平均保险费用的五倍以上,有时甚至高达每年保险额限额的 5%。用户或许需要“多达十几家保险公司”才能获得 500 万至 1500 万美元的保障。

2018 年 10 月份,由 Winklevoss 双胞胎兄弟成立的加密货币交易所 Gemini 将其托管的数字资产纳入了保险范围,保险由全球最大保险业集团之一美国怡安集团(Aon)建立的保险体系下的一个保险财团提供,且 Gemini 持有的美元还被纳入美国联邦存款保险公司(FDIC)的存款保险范畴。

韩国一家大型保险公司也开始为加密货币交易所提供保险服务,可以为交易所因受黑客攻击而造成的损失进行赔偿。据韩媒报道,Bithumb 已经投过两份保单,其中包括对信息维护侵犯、数据丢失和窃取、网络威胁以及投资者个人信息泄露等方面进行赔偿。但这两份保单都不提供黑客攻击损失赔偿险,也就是说,不赔偿交易所因黑客攻击而造成的损失。

3,设置行业合规门槛

在美国,加密资产接受美国证券监管部门(SEC)的管理。根据 SEC 的规定,客户资产价值超过 15 万美元的机构投资者,必须将所持资产在“合格托管人”处存放。在此背景下,资产托管成为美国加密货币交易所必须面对的问题。

美国与数字资产托管有关的主要牌照资质,及相关的监管法规如下所列:存托机构、银行、信托牌照,此为万能牌照,涵盖法币的托管;证券经纪商、中央证券存管机构牌照可,此牌照可托管证券及类似投资品;期货经纪商,此资质可托管期货及相关期权;Bitlicense 牌照,此牌照为纽约州数字资产业务特殊资质。

BitLicense 牌照由纽约州金融服务局 (NYDFS) 颁发。一家加密货币交易所如果希望在美国纽约州获得合法的运营地位,就必须满足 BitLicense 的监管框架。NYDFS 在授予 BitLicense 之前,会对相关企业的反洗钱、反欺诈以及网络安全政策等进行全方位评估;获得牌照后,企业仍将继续受 NYDFS 监管。

BitLicense 牌照并不容易拿下,申请牌照的企业需要提交公司经营的详细资料、财务和法律历史记录,以及数字货币运营计划,一定程度上给企业带来了繁重的行政负担。自 2015 年 6 月正式实施以来,14 家企业获得该运营许可。而大多数提交申请的企业只能面临被驳回的窘境,并停止在纽约州的加密货币相关业务,其中包括 OKCoin 推出的区块链金融网络 OKLink。

相当低的通过率、申请牌照的高额费用,以及申请中的繁杂流程,为行业准入设置了一定门槛,增加了合规交易所的作恶成本,在一定程度上对用户的资产起到了保护作用。

第二,建立去中心化交易所

去中心化交易所是保障用户资产安全的有益方式,据不完全统计,全球共有 200 余家去中心化交易所,去中心化交易所的一个重要特性是:交易数据上链,用户保留对自己资产的控制能力,存在一个以去中心化方式维护的记录账本。

按照不同维度,去中心化交易所可以划分为多种类型:

按照公链技术划分,主要有 eth 系交易所、bts 系交易所、neo 系交易所、eos 系交易所四种;

按照去中心化设计思路的不同,可分为以下三类:第一类为完全分布式交易所,以德 IDEX 即是此类;第二类为中心化撮合,分布式清算,类似股票市场的银行存管模式,如达尔文 DEW;第三类为中心化做市商,分布式清算,如开博 Kyber Network。

按链上协议划分,可分为 0x 协议、Bitshares 协议、Snowglobe 协议、On-chain 协议、Off-chain 协议和 Swap 协议等;

按交易撮合模式划分,可分为订单薄模式、储备库模式和 P2P 协商模式;按是否共享订单池划分,可分为共享型交易所和封闭型交易所。

不论是哪一类去中心化交易所,如何在交易体验、资产安全以及、中心化性之间做出平衡是所有去中心化交易所要解决的最重要的问题。

去中心化交易所虽然在资产安全方面有所保障,然而在交易撮合速度、交易成本、原子跨链等方面难以满足交易者的需求,限制了交易者的机会。用户需要支付更高的交易手续费,却无法得到良好的用户体验。考虑到普通用户的使用体验,大部分去中心化交易所并非严格意义上的绝对去中心化,而是半去中心化交易所,多数会为了提高用户的交易体验牺牲不同程度的去中心化性。

虽然去中心化交易所的安全系数远远高于中心化交易所,然而也并非能够做到 100% 的安全。在去中心化交易所中,虽然用户拥有对自己钱包的控制权,但如果用户安全防范意识薄弱,也存在被钓鱼网站诱导泄露私钥,造成资产被盗的可能性。

第三,建立去中心化托管机制

交易所、存储、支付等业务的第三方托管服务是支撑数字资产行业的底层基础设施,但目前主要是中心化的机构在提供服务。很多时候,交易所充当交易撮合、托管、清算的多重身份,托管业务并未独立分离出来,成为安全、透明的第三方服务。

当前尝试的所谓托管服务也是中心化的机构采用中心化的密钥管理机制,无法摆脱人为控制密钥的困境。

提供独立的三方托管服务,并且摆脱由“人”来管理密钥的方式,依赖监管和信用背书的模式,走向公开透明的去中心化代码治理,是一个值得尝试的方案。而区块链技术本身就是这个问题的最佳答案。

通过区块链和加密学技术把私钥的生成、存储、签名完全在一个多节点的区块链去中心化网络下实现,成为一个十分值得尝试的方向。这一方案使加密资产的交易撮合、托管清算的全过程完全用公开的代码来实现秘钥管理,用技术、代码管理、规则管理来代替人治的模式。

行业中不乏沿着这个方向探索的团队,我们以技术比较成熟的 Bluehelix 为例,说明去中心化托管机制的运行逻辑。

在去中心化托管机制中,通过去中心化的方式支持区块链资产的托管、清算;通过密码学技术应用,实现控制区块链资产的私钥从创建到签名都不受单一机构的控制——这种方式的优势在于,整个流程用通过这一套去中心化资产托管方案,密钥在链上进行去中心化管理,用户有权限授权交易资产,交易所来协助完成交易的过程,这就是“去中心化资产托管+交易所”的模型。

在这一套机制中,去中心化的私钥管理是核心所在,由 N 个节点共同协作创建和管理私钥,任何一个节点都只能持有用于签名的一部份,超过 80% 节点共同签名才能向其他公链发起一笔正式的交易结算,而清算结果则决定了节点是否应该发出签名。

随着区块链技术和金融共识的演进,慢慢过渡到以区块链支撑的中心化交易所形态。每个中心化交易所,实际上都是一个去中心化体系中的超级节点。交易所的交易指令和资产都在可信的区块链上执行和流转,同时接受监管理机构的全面监管。

2019 年,加密货币行业进入第 11 个发展年头,资金托管问题成为行业发展的关键。形成一套行之有效的资产托管方案,道阻且长,但未来可期。

举报

链闻 ChainNews 信息平台,诚邀读者共同监督,坚决杜绝各类代币发行、投资推荐及虚拟货币炒作信息。如您发现这篇文章含有敏感信息,请点击「举报」,我们会及时调查,并进行处理。

你可能感兴趣

    App
    下载链闻 ChainNews Apps

    链闻 App

    扫码下载

    公众号 小程序
    链闻 ChainNews 微信公众号
    链闻 ChainNews 微信小程序