交易所老板的真实生活

“徐明星曾经梦见有人绑架了他，要他交出比特币，他从梦中惊醒，第二天重新设计了交易所的安全机制。”

自从开了交易所，每天都睡不着觉，担心客户的资产被盗。

就连OK的创始人徐明明，在创业初期也有过同样的感受。 现在交易所的创始人也不例外。

牛市来了，他们眼中最大的空头可能就是黑客。

毕竟在牛市卖币赚的盆满钵满。 正如区块链安全公司PeckShield副总裁吴家志所说，攻击交易所的黑客是一群熟悉交易所系统、了解加密货币的人，所以卖盗币也讲究时机。 “在比特币涨到8000美元后，之前监控的黑客地址又开始动了，里面的币经常在几经易手后流入交易所换取现金。”

跟随市场，外汇资金量翻了一番。 自然而然，这个战场成为了创业者和资本追逐的热点，也成为了黑客追逐的目标。

据慢雾科技统计，2019年第二季度以来，包括币安、Coinbase在内的近10家交易所被黑客成功攻击，损失超过7600万美元。

一些不知名的交易所因黑客攻击而被关闭，而那些没有关闭的交易所可能只是因为他们可以承受损失。

交易所熬过了熊市的惨淡，却逃不过牛市的黑客。

惊恐盗币，创始人睡不着吃不下

Coinchuang走了，留下一句“交易所的坑真是难以为继”。 感人的。

据业内人士透露，在币安被盗7000枚比特币前后（5月初），多家交易所也遭到黑客洗劫。 因此，许多小型交易所面临关闭的压力。

一家小型交易所的创始人从那以后一直承受着很大的压力。 “虽然后来坑被填上了，但据说创始人经常失眠，几近崩溃，坚持了几个月后，决定关掉网站。”

OK创始人徐明星曾梦到有人绑架他，要他交出比特币。 ChinaVenture报道称用手机可以盗平台的比特币吗，他在梦中醒来后，第二天重新设计了交易所的安全机制，将冷钱包密钥交给多人管理，并建立了远程备份。

交易所安全的历史上不乏经验教训。 门头沟、Bitfinex 10 万枚比特币被盗的惊天大坑，至今仍对相关方产生深远影响。

每个坐上交易所CEO位置的人，都像是突然夺得王位的达摩克利斯。 在他的面前，除了美酒佳人，还有一柄利剑，以一根马鬃悬于王座之上。 对于交易所来说，这把利剑是随时面临的黑客攻击，亿万财富也可能在一夜之间白送。

“每个开交易所的人，最担心的就是被盗。没有最安全，只有更安全一点。” HB.top交易所创始人姚远坦言，“黑客和政策禁令一样，是交易所最关心的两个大问题。”

每次钱币被盗，姚远的神经都会受到刺激。 币安被盗后的第二天，赵长鹏就在网络直播中安抚用户，并详细说明了补偿方案。 “看得出来，他整个晚上都非常憔悴，出了这种事，他是要买单的，我很担心自己发生了什么事。” 姚远坦言。

不敢用别人的钱包，也不敢用自己的钱包

交易所需要每天为提现准备足够的流动性。 据业内人士介绍，一些交易所提币提币，几个创始人每天早上一起操作。 “想想还是很手工，手抖，万一不小心把钱弄丢了怎么办？”

这样的仪式感，每天都在提醒自己，他们是最大的中心，也是行业最大的目标。

“不止一位交易所的创始人告诉我们，他非常担心，睡不着觉，然后要求我们做好测试，加强交易所的系统安全。” 慢雾科技合伙人兼安全总监海贼王告诉Odaily每日星球。

一位交易所领域的创业者表示，“中心化交易所其实对创始人的折磨是相当大的。 毕竟，能赔得起的人屈指可数。 交易所要自己做钱包，不敢用别人的钱包。 有的连自己人做的钱包都不敢用。”

创始人的焦虑不无道理。 根据慢雾团队提供的数据，2019年第二季度以来，包括币安、Coinbase在内的近10家交易所被黑客成功攻击，损失超过7600万美元。

姚远每天都能在阿里云和自家交易所购买的云的分析日志中看到提交的恶意扫描和攻击服务器的报告。 “看起来很着急，每天都要花12分钟，谨慎操作，反复检查系统的健康指标，虽然枯燥，但很重要。”

在恐惧的控制下，一些顶级交易所不惜重金挖高级安全人员。

“安全人员的行业平均工资通常是同资历程序员的两倍，有特殊能力的人甚至没有上限，有可能给出超过老板的Offer。” 吴嘉智告诉Odaily星球日报。

吴嘉智坦言，一段时间以来，几位合伙人陆续收到了猎头的offer。 “经过相互沟通，我们发现都是同一个头部交易所发行的。”

除了人员投入，还有钱包、托管服务等投入。 根据Coinbase一年前公布的报价，其托管服务将收取10万美元的一次性费用，在此基础上每月增加10个基点，并要求客户拥有的加密资产余额为不少于1000万美元。

高昂的安全成本确实是普通交易所无法承受的。 币创创始人表示，安全成本是选择关停的原因之一：“一个小团队的开发资源极其有限，想要在保持功能进度的同时投入大量精力在安全上确实不可能”

交易安全的坑数不胜数

如此高的安全素养，是交易所踩过的坑教出来的。

1、忍耐黑客卧底半年关网

5 月初，币安被盗。 北京联安分析认为，问题出在币安内网被黑客长期渗透，可以轻松获取用户密钥等相关信息，进而提币。

此前一个多月，DragonEx、BiKi等平台刚刚被黑客组织Lazarus用类似手段“渗透”。

据360安全专家介绍，拉撒路通常会花半年时间调查交易所内部结构，然后假装与交易所工作人员进行长时间沟通。

“我们都是朋友，谁的防备心会这么强？” 360安全专家表示。 时机成熟时，向交易所人员推荐带有恶意代码的自动交易软件。 一旦招募到交易所人员，黑客就可以控制云端的电脑，获取想要的信息和权限，为所欲为。

“去年10月开始筹备，今年1、3月终于收尾。” 当病人拉撒路关闭网络时，仅 DragonEx 就获利 4000 万元。 “面对如此长期、精心设计的陷阱用手机可以盗平台的比特币吗，大多数企业都受不了。” 360安全专家补充。

2.保安人员弱时挑

普通的黑客，即使没有拉撒路那么有耐心，为了提高成功率，在前期测试完成后，他们也会埋伏，直到合适的时机发动攻击。

姚远最不喜欢过节了，因为这个时候是最危险的，他必须要全力防备这些人。 “黑客一年四季都盯着你的小金库，大年初一、初二也有人被盗。黑客晚上还出没，必须有人值班从2早上 :00 到 5:00。” ，HB.top只有10人的团队，其中3人是安全人员。 “

3. 不要只吹嘘自己在安全方面做得如何

安全无小事，当有大事发生。 但仍有一些交易所无视这一格言。

安全行业从业者Ken告诉Odaily星球日报，交易所要避免高调夸大其词。 有些交易所可能很久没有上线，也没有出现过任何问题，所以他们在社交媒体上吹嘘自己的技术有多么强大和安全。

“什么？那我就得挑战一下，黑客看到了很可能会兴奋起来，所以安全方面的事情还是要悄悄做，漏洞少，零损失。” 肯说。

4.不知道为什么盗币最惨

风险预警只是安全攻防的前半部分，后半部分是黑客攻击后的处理能力。 如果处理得当，损失无疑会降到最低，甚至为零。

派盾团队有时会遇到被攻击的客户，并寻求帮助。 这时候头疼的是知道被攻击的事实，却不知道问题出在哪里。

“刚入行的时候，感觉很迷茫，压力也很大，有时候要连续熬一两个晚上排查问题，但慢慢就习惯了。” 吴佳芝说道。

去年7月，HB.top发现钱包中少了数百枚USDT，于是迅速查证，发现是黑客发起了假充值攻击，即黑客假装充值USDT到交易所账户，但实际上利用了兑换机制漏洞（假充值账户在USDT到账之前就被赋予了提币权），让黑客在几分钟内提现，从而造成赤字。

发现问题后，HB.top立即对黑客账户进行排查，并调整机制，在账户记录审核通过后开通提币，从而防止黑客进行更大额度的假充值。

后来的事实证明，黑客这种“创新”的攻击方式已经攻陷了大量交易所，部分交易所损失的USDT高达数百万美元。

综上所述，许多从业者认为，在交易所安全的各个方面，人是最脆弱的。

首先是老板的安全意识有多高，保管私钥时愿意信任的人范围。 其次，安全投入、机制设置、安全教育是否到位。

正如姚远所说，人性弱的地方，要用制度来约束。 比如有些公司设置内外网关卡，实行网络中断隔离，还规定所有员工必须安装杀毒软件，不要点击不明链接等等。

丢币不可怕，可怕的是交易所无钱支付

交易所本身的安全性是一方面； 资产安全的另一个方面是交易用户。

上述创业者认为，用户在选择交易所时，不会过多评价其安全性，毕竟大额交易所也会被盗。

那么用户主要寻找什么？

关键是看交易所丢币后能不能赔钱。 这涉及到交易所是否设立了被盗币的赔偿基金，以及攻击后的动作。 如果交换补偿到位，被盗的硬币也可能增加品牌价值。 “大交易所安不安全我不知道，但我知道他不会跑的。”

目前大大小小的交易所都倾向于丢币后全额赔付。

然而，在安全从业者眼中，一类交易所的安全性却能让人颇为关注——那些突然走红的黑马。

很多交易所早期并没有太注重安全防护，经过快速发展，往往成为黑客眼中的Easy Girl。 我们看到，在过去的三个月里，像 Biki 和 Matcha 这样的新贵交易所被黑客洗劫一空。

吴家志坦言，与两年前相比，从业人员的安全意识和防护技术确实有所提高。 一些交易所甚至购买了昂贵的服务，例如托管钱包和 AWS 的密钥托管服务 (KMS)。

在采取多种措施的情况下，我们可以看到被盗交易所的数量明显下降。

但安全从业者知道，人造系统有各种可能受到损害。 换言之，安全问题是交易所的致命弱点，将永远存在于行业中。