• 12月24日 星期二

币安“绝对是黑客最大的攻击目标”,赵长鹏和币安将何去何从?

尽管加密货币已经彻底进入熊市,但作为交易量最大交易所之一的币安,似乎仍然获利惊人。其创办人兼 CEO、也是福布斯加密货币富豪榜前 3 名的赵长鹏在 2018 年年初时预测,币安 2018 年获利将达 5~10 亿美元。他至今仍维持这一预期目标看法。

币安“绝对是黑客最大的攻击目标”,赵长鹏和币安将何去何从?

图 | 赵长鹏(来源:币安)

根据赵长鹏在 2018 年 9 月中在 CoinDesk 共识大会新加坡站上公开透露,币安 2018 年第一季度获利 2 亿美元,第二季度则为 1.5 亿美元。若全年获利可达与其财测相符,则换算下来,相当于币安平均每天可赚进约 1 千~ 2 千万元人民币。

币安“绝对是黑客最大的攻击目标”,赵长鹏和币安将何去何从?

图 | 赵长鹏出席 2018 新加坡 CoinDesk 共识大会(来源:DeepTech)

革自己的命,最大中心化交易所币安将启动去中心化计划

但赵长鹏却似乎想要革自己的命。他近来经常主动宣扬加密货币交易所的未来是去中心化,更表示币安在 2018 年底、2019 年初就会推出去中心化交易所计划。在各大主流加密货币交易所中,他是唯一一个如此宣称的。

中心化与去中心化是新兴加密货币交易所的一个新概念。二者之间最大的差别可以归结为安全性。

比起目前主流交易所一律采取的中心化集中保管模式,去中心化交易所的模式是直接在区块链上进行交换,加密货币始终分散存放在各个用户钱包或链上智能合约,黑客攻击风险大为降低。只是因为此一模式目前技术并不成熟,无法做到高效率、低成本,使用者体验低落,故各大主流交易所都仅采取观望态度。

但“安全”是赵长鹏最常强调、也最自豪的最大优势之一,甚至在币安的名字里就有一个“安”字。在近日接受 DT 君的专访时,他表示,“我们在速度上有绝对的优势,另外就是安全上一直非常稳定,这两块是币安很核心的优势。”

这似乎与外界对币安的印象存在一定程度落差。一般认为,币安的优势主要是善于运用监管套利(Regulatory Arbitrage),灵活选择对加密交易监管相对宽松的营运地点。

成立于 2017 年 7 月的币安,仅用不到半年时间就崛起成为全世界数一数二的加密货币交易所巨头,其上半年度利润 3.5 亿美元,主要收入便是来自目前约达 1000 万名用户所付的交易手续费。

这最主要是得益于 2017 年 9 月国内对加密货币交易所祭出禁令,重创行业之际,位于境外、只提供币币交易的币安趁势坐大,接收了其他平台的流失客户。此后币安一度落脚日本,却又在该国监管趋紧后表态撤走。时至今日,似乎仍没有哪个地方可称得上是币安真正的根据地。

最分散的团队,币安团队成员广布 39 个不同国家

“币安团队并不大,非常分散”,赵长鹏也如此告诉 DT 君,目前其团队总数约在 300 人左右,分别位在 39 个不同的国家,平均一个地方约十来个人。

尽管团队分散于全球多个不同地区,但这似乎并不影响币安整体系统安全的布建,币安在系统安全上确实有一定表现。

币安“绝对是黑客最大的攻击目标”,赵长鹏和币安将何去何从?

图 | 币安网站(来源:币安)

2018 年 3 月,币安曾遭遇一波惊天动地的黑客攻击。大量用户在一夜之间发现自己的帐号被盗,遭黑客控制进行交易,以比特币高价购买一个冷门币种 VIA。这导致多数币种全面下跌,并带动市场中其它散户跟进抛售。比特币在不到 2 小时内就大跌了 1,000 美元。

币安第一时间立即反应,暂停所有币种提现,成功将黑客用来做案的约 1 万个比特币截下。只是这仍无法挽回黑客早有预谋的声东击西。

原来,这群黑客早在全世界多个交易平台挂出大量空单,并利用币安在整个市场中的重要地位快速带动各地币价跟跌,用空单获利了结出场。尽管损失了留在币安的大批比特币,但估计黑客仍是获利丰厚。

“那次大概应该是最严重的了,”赵长鹏回忆,“当时我们也停止交易了一段时间,原因是如果没有停止系统,就拦不下来。”

加密货币或许仍是一门相对小众的新兴科技,但围绕其所兴起的新型态加密货币交易所,无疑已是全世界黑客最活跃的战场之一。其背后曝露的安全议题,其实值得整个科技行业关注。在这次震惊全球加密货币与网络安全领域的黑客事件过后,币安做了些什么关键举措?事件至今又有什么进展呢?

数字取证反追踪,币安成功让黑客现形

“其实,每次遭受攻击之后我们都会做大量的处理。第一时间我们是先防守住,但接下来他们逃跑的时候,我们就会去追”,赵长鹏说。

据他表示,事件过后第一时间,币安是先把受影响的用户,在合理的范围内进行处理。另外,币安花了大量时间通过数字取证技术进行追踪每一个有问题的账号,并跟国际执法机构一起合作。“最后连那几拨黑客是哪些都追踪到很后面,甚至查出车牌号码、地址、身份证等信息,全部提供给执法机构。”

数字取证又称计算机取证(Computer Forensics),是指运用计算机辨析技术,对计算机犯罪行为进行分析,以确认罪犯与证据,并据此提起诉讼。也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。

计算机取证在打击计算机和网络犯罪中作用十分关键,其目的是要取出犯罪者留在计算机中的“痕迹”,作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。

尽管赵长鹏以保密协议限制为由,没有完全透露后续具体处理结果。但他仍说,“这些事件是有得到处理的,当然不是百分之百处理完毕,但也不是完全没有被处理。”

包含这一攻击事件在内,币安“绝对是黑客最大的攻击目标”,赵长鹏说,币安创立一年多来不断遭受大量攻击,有些时候运气好可以几天不被攻击,但不好的时候,一天被攻击次数甚至多达 10 次、20 次,且攻击力道非常猛烈。

16 层安全防护,迄今黑客未曾越过 3 层

但他指出,币安在安全机制设计上有 16 层防护,“目前为止最多只被攻击触及到第 3 层。”

据其说明,这 16 层防护分成很多不同维度,包括业务安全、物理安全、网络安全等,每个维度再进一步分层,所以总计自我定义出 16 层。理想上是在外来攻击开始渗透第 1 层、第 2 层的时候,就能够察觉并加以处理。

且在 3 月黑客事件过后,币安的安全系统在风控、预警等方面还有进一步强化。赵长鹏自信地说,现在如果再发生同样类型的操纵市场攻击,币安可以更快的、甚至连人工都不用介入就可以完成处理。

而能够开发出这样一套足以日常性抵御猛烈黑客攻击的交易系统,赵长鹏归功于 20 年的交易系统开发经验,以及一群跟随他多年的团队。

严格来说,现年 41 岁的他,从传统交易所到近年跨足加密货币行业,币安已是他所领导或参与开发出的第 6 套、或第 5.5 套交易系统。

创立币安 赵长鹏融入 20 年交易系统开发经验

他所参与开发的第一套交易系统是东京交易所。当时赵长鹏大学刚毕业,他在一家东京交易所的外包商的外包商,负责东京交易所交易系统的其中一部分技术开发。

接着他到了彭博社负责期货交易平台。他加入时彭博社才刚成立这个新的小组,而他很快就成为组长,手下一路从 4 人扩张到 80 人。当时彭博社内部只要跟期货相关的交易,技术部分全是这个小组做的。赵长鹏回忆,“那时候我还有在写代码,那套系统的编程有蛮多还是我自己负责的。”

此后,他开始回国创业。2005 年先是参与创办一家专门为券商开发超低延时交易系统的技术供应商。6 个联合创始人中,他是最年轻的一个。

2013 年他退出公司,全职投入比特币行业,并在 2014 年以联合创始人的身份,加入 OKCoin,出任 CTO。但或许是因为后来与 OKCoin 不欢而散,赵长鹏在采访中坦言,他加入时 OKCoin 已经有一套系统了,所以他在技术架构上参与的并不多。

不过他强调,离开 OKCoin 后,他花了两年多时间开始打造一套新的交易平台。除了把过去的技术经验运用进来,也加入了许多新的概念。刚开始是做 2B 生意,也就是作为技术方案供应商,服务其他交易所。

再后来,当然就是自己成立了币安。此时数过来,这已是第 6 套他所领导或参与开发的交易系统,只是里头多半是从前两年所开发的第 5 套系统演变而来,虽然有些新的元素,但核心技术大致类似。

币安,一个“安全”、却不“安定”的交易所

可以说,经历这些过程而诞生的币安,是一个“安全”、却不“安定”的交易所。一方面,币安致力于提供用户一个安全交易的环境,另一方面,其自身始终仍游走各国,用户只能在微信群、电报 (Telegram) 群里找到币安工作团队。而这一特性,也与赵长鹏的个人形象高度重合。

在与这位身价估计约数十亿美元的全球第三大加密货币富豪互动时,你可以清楚感觉到他的安全意识极高,机警的目光始终在逡巡四周。

币安“绝对是黑客最大的攻击目标”,赵长鹏和币安将何去何从?

图 | 赵长鹏出席公开场合经常被行业人士包围(来源:DeepTech)

自从去年 94 监管禁令后,赵长鹏就没有再回过中国,多数时候外界很难得知他的确切所在。

但他不久前曾在 Medium 上发表文章一篇标题为“A Typical Day for Binance CEO”的文章,自曝他的日常生活。文内他说,“在币安的头 6 个月里,我基本没离开过办公室。在接下来的 6 个月里,我基本没有在任何办公室里呆过。而且基本上生活在一个可以随身携带上飞机的手提箱里。”

偶然出席一些加密货币公开场合时,他会选择在活动开场、灯暗下后,才迅速溜进场内就坐。散场后虽难免被听众包围,但如果可以,他总会尽量将背靠向某个屏障物,例如一道墙、或是一面看板。

交易所的安全与安定乍看是两个不太相关的维度。但实际上对用户来说,在某些时候可能是同一回事。

因为,在上述在 2018 年 3 月发生的黑客事件过后,币安表示,该次攻击事件肇因于用户自身访问钓鱼网站,致使其登入凭证失窃。因此回绝遭窃者希望回滚所有交易的请求,许多损失必须由用户自行承担。由于币安注册营运地是相对低度监管,用户在发生纠纷时,要想诉求第三方进行仲裁并不容易。

但相较之下,此前不过一个多月,日本第二大交易所 Coincheck 同样遭受黑客攻击,被卷走价值约 5.3 亿美元的加密货币。过后日本金融厅对加密行业进行整顿,也责令 Coincheck 承诺赔偿。2014 年因黑客入侵而宣告破产的另一家日本比特币交易所 Mt.Gox,在历经多年追查与司法裁定后,也于近日开启民事损害赔偿程序。且拜事隔多年比特币价格大涨之赐,受害者几乎确定可以获得足额赔偿。

再高超的安全技术也不可能毫无漏洞,这个时候,一个稳定监管体系所能提供用户的安全保障,从某种程度上来说,是远远超过任何高超安全技术的。反过来说,规避监管则势必意味着安全保障的缺失。安全与安定,有时候是一体的两面。

上一篇新闻

羽毛球韩国公开赛:李诗沣不敌齐尔伯曼 王祉怡胜革通

下一篇新闻

2021年文学理论评论:新的时代,新的言说,新的活力

评论

订阅每日新闻

订阅每日新闻以免错过最新最热门的新加坡新闻。