近日,区块链行业上演了一出扑朔迷离的资产安全事故。
加拿大最大比特币交易所QuadrigaCX创始人GeraldCotten去世,QuadrigaCX欠下客户2亿美元,其中包括约1.47亿美元加密数字货币,而这些加密数字货币的密钥,生前只有GeraldCotten掌握。伴随着他的去世,“1.47亿美元”被上锁。
据最新消息,Kraken交易所首席执行官JessePowell发推称,已掌握QuadrigaCX的数千个钱包地址。有网友分析认为,“也许创始人根本没有死,现在正持有巨款逍遥法外。”
无论真相如何,这起事件再次暴露出加密资产行业一个致命的问题:由于加密资产的特殊属性,拥有密钥即掌控资产。无论10美元还是10亿美元,所对应的都是一串由数十个字节组成的私钥。一旦用户把资产转账给了别人,原则上就失去了资产的控制权,存在极大的安全隐患。
2017年,在区块链行业巅峰期,加密资产总市值一度飙升到7000多亿美元的历史高点;即使如今步入熊市,行业市值也达到了1146亿美金。数额如此庞大的加密资产,托管方式却令人堪忧,有相当大一部分的加密资产被存储于中心化的钱包,交易所和项目中。
目前,加密货币资产的存放方式主要有三种,分别是数字货币钱包、第三方托管及交易所托管。
第一类为个人钱包。即用户将资产存储在imtoken,blockchaininfo等在线热钱包App中,或是单独的硬件冷钱包中。冷钱包的私钥不接触网络,安全系数更高。然而随着技术的迭代,冷、热钱包都成为黑客攻击重灾区。据统计,2018年因为钱包安全而损失的金额在4000万美元左右。这其中,大部分是黑客通过各种手段获取到用户私钥,导致资产被盗,因用户密钥管理不善导致资产丢失的也不在少数。个人电脑、手机的信息安全是关键所在,然而大多数用户并不具备相应的安全意识和风险控制能力。
第二类为第三方托管机构。随着数字货币资产对实体经济的影响越来越大,数字货币资产托管这块肥肉引来传统金融机构争相入场,高盛、摩根大通、纽约梅隆银行等多家华尔街巨头已经开始探索开发数字托管服务。然而银行依然是一个靠人治理的中心化金融机构,因此也存在一定风险。且由于每次交易都要通过银行的托管流程,交易流程不够高效。
路透社:文件显示以色列查封币安加密账户以“挫败”伊斯兰国:5月5日消息,文件显示,自2021年以来,以色列在加密交易所币安查封了大约190个加密账户,其中包括两个据称与伊斯兰国(Islamic State)有关的账户,以及数十个据称由与伊斯兰哈马斯(Hamas)组织有关的巴勒斯坦公司所有的账户。以色列国家反恐融资局(NBCTF)网站上的一份文件显示,1月12日,NBCTF没收了两个币安账户及其内容。
NBCTF在其网站上表示,此次扣押是为了“挫败”伊斯兰国的“活动”,并“削弱其实现目标的能力”。NBCTF的这份文件此前从未被报道过,它没有提供有关被查获的加密货币价值的任何细节,也没有说明这些账户与伊斯兰国有何联系。(路透社)[2023/5/5 14:43:39]
第三类为中心化交易所。这是目前大多数用户选择的资产存储方式,却也是安全隐患最为明显的。当前全世界有1万多家加密货币交易所,其中大多数都为中心化交易所。在中心化交易所,私钥的持有者也是资产的所有者——这与加密资产行业的基本原则背道而驰,也为交易所挪用用户资产、恶意爆仓提供了土壤。
目前,区块链行业发展尚处于早期,交易所从业人员缺乏有效约束,且行业尚未纳入监管,用户的资产存放在中心化交易所里缺乏保障,面临内部运营风险、黑客攻击风险、商业道德风险、资产盗用等多重风险。这直接导致了散户投资者占据加密货币市场的主流,而鲜少有机构玩家入场。在一个资产托管机制尚不健全的金融市场,机构玩家只能望而却步。
从2014年门头沟事件算起,一起又一起触目惊心的资产安全事件此起彼伏,“去中心化”是加密资产乃至区块链行业头顶上最耀眼的标签,然而整个行业却因中心化交易所的种种问题饱受争议——这几乎是一种讽刺。据不完全统计,累计超过16亿美金的加密资产遭遇被盗的命运。
交易所安全事故频发,超过16亿美金加密资产被盗
2013年11月,据澳大利亚广播公司报道,当地一位18岁的青年称,自己运营的比特币银行被盗,损失了价值110万美元的4100个比特币,但是由于担心失去比特币所有权,他又不敢向报案。据了解,这位青年用自己的电脑开设了一家比特币银行,名为“Tradefortress”。
2014年2月,总部位于日本的Mt?.?Gox交易所被黑客盗取了85万枚比特币,约占世界比特币总量的7%,按当时汇率估计约值4.73亿美元,这一损失直接导致Mt.?Gox破产倒闭;3月,一家比特币银行Flexcoin遭到攻击,黑客抢走了存在热钱包的896枚比特币,这些比特币当时价约58.7万美元,由于Flexcoin无力承担这一损失,只好关门大吉。
2015年1月,总部位于斯洛文尼亚的Bitstamp交易所在一次攻击中被盗取了19000个比特币,价值540万美元,导致公司被迫停止交易;2月,国内著名的山寨币交易所bter.com发出被盗信息,在事件处置中交易所暴露出安全性严重缺失,POS币钱包在线安全隐患严重等问题,最终被黑客盗取了110个比特币。
2016年5月,总部位于香港的Gatecoin在一次网络攻击后损失了大约200万美元的比特币和以太币;6月,当时使用以太币融资的、最引人注目的风险投资基金项目被黑客袭击,价值大约5000万美元的会员基金被卷走;8月,世界领先的比特币交易所Bitfinex遭遇了一次巨大的“灾难”。当时因为安全漏洞,遭受网络黑客的DDOS攻击,总计有119756枚比特币被盗,约约7000万美元。
2017年4月,韩国知名加密货币交易所?Yapizon发表公告,黑客成功入侵其系统并劫持了四个独立的数字钱包,盗取个3800比特币,约占Yapizon业务总资产的37%;11月:太坊钱包Parity被黑客攻击窃取了15.3万以太坊之后,再次被曝光存在安全漏洞,导致价值数亿美元的以太坊被冻结;12月,挖矿服务器Nicehash被黑客入侵,超过4000个比特币被盗,好在Nicehash处理非常得当,第一时间对被盗用户进行了退款并及时修补了漏洞,挽回了一定的损失,几周后,服务器重启。
2018年1月,日本最大的交易所之一CoinCheck遭遇黑客攻击,损失达5.23亿美金;3月,三大头部交易所分别遭受不同程度的攻击:火币遭受DDoS攻击,攻击者操作币市,通过做空单获利约1.1亿美元;OKEx出现将近1个半小时的极端异常行为,BTC季度合约一度比现货指数抵触20多个百分点,最低点逼近4000美元,约有46万枚比特币的多头期货合约爆仓,跌到最低点后期间又拉涨10几个点,部分空头也被爆仓,OKEx随即宣布对异常交易回滚;3月7日,Binance遭到黑客入侵,黑客通过控制币安部分账户,卖出这些账户持仓的比特币,买入VIA币,导致VIA逆市大涨。币安将异常交易进行了回滚处理,但此事件依然引起市场恐惧,随后几天比特币跌幅超过15%。
中心化交易所“暴雷”的几率呈逐年上涨趋势,据TokenInsight《交易所行业?2018?年度报告》显示?,2018?年是交易所资金被盗最为严重的一年,仅上半年被黑客窃取的加密资产价值总额就超过?7.31?亿美元,超出?2017?年被盗总额的?3?倍以上。
针对上面的这些安全问题,市面上到底有没有一个最好的最安全的解决方案?
当前的三种解决方案
“资产托管”问题已成为行业发展的黑洞,目前行业中的解决方案主要有以下三类:
第一,政府监管传统金融力量入场
一些对数字货币持拥抱态度的国家,如美国、澳大利亚及中国香港,均将数字货币纳入现有的证券监管体系,通过原有的证券监管模式进行监管。多国在加密资产托管方面进行了有益的探索。据笔者归纳,主要有以下几种方法:
1,认证托管机构多重签名方式
2018年9月,加密货币安全公司BitGo在美国获得监管机构批准,可为机构客户提供加密资产托管服务,成为美国本土第一个拿到国家监管部门的合规牌照——这意味着,该公司为机构客户提供加密资产托管服务获得了金融部门的许可,它将定期接受美国监管部门严格的客户和反审核,还要接受财务审计和月度信息披露等等。
据BitGo网站,目前可托管的币种包括BTC及其分叉币、ETH、XRP、ELF、ZRX等70余种。除BitGo之外,这一领域的主要参与者还包括Coinbase、Primetrust,以及StateStreet,NorthernTrust等老牌托管服务公司。
有业内人士提出,诸如BitGo这样的认证托管机构,再加上使用由用户控制私钥的多重签名方式,可能是一种长期有效的方式。这种方式将阻止任何滥用用户资产的行为,要求托管方采取完全不同的商业模式,同时这也将保障资金安全以免遗失或被盗。”
除美国外,日韩等国也开展了通过认证机构进行资产托管的探索。在韩国,最大的金融机构新韩银行在2017年就已经宣布开展数字资产托管业务,面向对象也是机构投资者;日本野村控股与数字货币公司Ledger和GlobalAdvisors联合创办了一家名为Komainu的托管财团,也计划进军这一市场。
2,为加密资产上保险
随着数字货币资产对实体经济的影响越来越大,XLGroup、美国国际集团、美国丘博保险集团等多家全球知名保险公司推出加密数字货币保险,悄悄为虚拟数字货币“保驾护航”,试图达到与传统金融机构相同的保险保障水平。
据cointelegraph援引彭博社报道,声称占据加密保险市场50%份额的主要保险经纪商Aon表示,该公司正在看到更多专门针对加密行业的保护措施。然而加密相关公司的保费可达到传统公司平均保险费用的五倍以上,有时甚至高达每年保险额限额的5%。用户或许需要“多达十几家保险公司”才能获得500万至1500万美元的保障。
2018年10月份,由Winklevoss双胞胎兄弟成立的加密货币交易所Gemini将其托管的数字资产纳入了保险范围,保险由全球最大保险业集团之一美国怡安集团建立的保险体系下的一个保险财团提供,且Gemini持有的美元还被纳入美国联邦存款保险公司的存款保险范畴。
韩国一家大型保险公司也开始为加密货币交易所提供保险服务,可以为交易所因受黑客攻击而造成的损失进行赔偿。据韩媒报道,Bithumb已经投过两份保单,其中包括对信息维护侵犯、数据丢失和窃取、网络威胁以及投资者个人信息泄露等方面进行赔偿。但这两份保单都不提供黑客攻击损失赔偿险,也就是说,不赔偿交易所因黑客攻击而造成的损失。
3,设置行业合规门槛
在美国,加密资产接受美国证券监管部门的管理。根据SEC的规定,客户资产价值超过15万美元的机构投资者,必须将所持资产在“合格托管人”处存放。在此背景下,资产托管成为美国加密货币交易所必须面对的问题。
美国与数字资产托管有关的主要牌照资质,及相关的监管法规如下所列:存托机构、银行、信托牌照,此为万能牌照,涵盖法币的托管;证券经纪商、中央证券存管机构牌照可,此牌照可托管证券及类似投资品;期货经纪商,此资质可托管期货及相关期权;Bitlicense牌照,此牌照为纽约州数字资产业务特殊资质。
BitLicense牌照由纽约州金融服务局(NYDFS)颁发。一家加密货币交易所如果希望在美国纽约州获得合法的运营地位,就必须满足BitLicense的监管框架。NYDFS在授予BitLicense之前,会对相关企业的反、反欺诈以及网络安全政策等进行全方位评估;获得牌照后,企业仍将继续受NYDFS监管。
BitLicense牌照并不容易拿下,申请牌照的企业需要提交公司经营的详细资料、财务和法律历史记录,以及数字货币运营计划,一定程度上给企业带来了繁重的行政负担。自2015年6月正式实施以来,14家企业获得该运营许可。而大多数提交申请的企业只能面临被驳回的窘境,并停止在纽约州的加密货币相关业务,其中包括OKCoin推出的区块链金融网络OKLink。
相当低的通过率、申请牌照的高额费用,以及申请中的繁杂流程,为行业准入设置了一定门槛,增加了合规交易所的作恶成本,在一定程度上对用户的资产起到了保护作用。
第二,建立去中心化交易所
去中心化交易所是保障用户资产安全的有益方式,据不完全统计,全球共有200余家去中心化交易所,去中心化交易所的一个重要特性是:交易数据上链,用户保留对自己资产的控制能力,存在一个以去中心化方式维护的记录账本。
按照不同维度,去中心化交易所可以划分为多种类型:
按照公链技术划分,主要有eth系交易所、bts系交易所、neo系交易所、eos系交易所四种;
按照去中心化设计思路的不同,可分为以下三类:第一类为完全分布式交易所,以德IDEX即是此类;第二类为中心化撮合,分布式清算,类似股票市场的银行存管模式,如达尔文DEW;第三类为中心化做市商,分布式清算,如开博KyberNetwork。
按链上协议划分,可分为0x协议、Bitshares协议、Snowglobe协议、On-chain协议、Off-chain协议和Swap协议等;
按交易撮合模式划分,可分为订单薄模式、储备库模式和P2P协商模式;按是否共享订单池划分,可分为共享型交易所和封闭型交易所。
不论是哪一类去中心化交易所,如何在交易体验、资产安全以及、中心化性之间做出平衡是所有去中心化交易所要解决的最重要的问题。
去中心化交易所虽然在资产安全方面有所保障,然而在交易撮合速度、交易成本、原子跨链等方面难以满足交易者的需求,限制了交易者的机会。用户需要支付更高的交易手续费,却无法得到良好的用户体验。考虑到普通用户的使用体验,大部分去中心化交易所并非严格意义上的绝对去中心化,而是半去中心化交易所,多数会为了提高用户的交易体验牺牲不同程度的去中心化性。
虽然去中心化交易所的安全系数远远高于中心化交易所,然而也并非能够做到100%的安全。在去中心化交易所中,虽然用户拥有对自己钱包的控制权,但如果用户安全防范意识薄弱,也存在被钓鱼网站诱导泄露私钥,造成资产被盗的可能性。
第三,建立去中心化托管机制
交易所、存储、支付等业务的第三方托管服务是支撑数字资产行业的底层基础设施,但目前主要是中心化的机构在提供服务。很多时候,交易所充当交易撮合、托管、清算的多重身份,托管业务并未独立分离出来,成为安全、透明的第三方服务。
当前尝试的所谓托管服务也是中心化的机构采用中心化的密钥管理机制,无法摆脱人为控制密钥的困境。
提供独立的三方托管服务,并且摆脱由“人”来管理密钥的方式,依赖监管和信用背书的模式,走向公开透明的去中心化代码治理,是一个值得尝试的方案。而区块链技术本身就是这个问题的最佳答案。
通过区块链和加密学技术把私钥的生成、存储、签名完全在一个多节点的区块链去中心化网络下实现,成为一个十分值得尝试的方向。这一方案使加密资产的交易撮合、托管清算的全过程完全用公开的代码来实现秘钥管理,用技术、代码管理、规则管理来代替人治的模式。
行业中不乏沿着这个方向探索的团队,我们以技术比较成熟的Bluehelix为例,说明去中心化托管机制的运行逻辑。
在去中心化托管机制中,通过去中心化的方式支持区块链资产的托管、清算;通过密码学技术应用,实现控制区块链资产的私钥从创建到签名都不受单一机构的控制——这种方式的优势在于,整个流程用通过这一套去中心化资产托管方案,密钥在链上进行去中心化管理,用户有权限授权交易资产,交易所来协助完成交易的过程,这就是“去中心化资产托管交易所”的模型。
在这一套机制中,去中心化的私钥管理是核心所在,由N个节点共同协作创建和管理私钥,任何一个节点都只能持有用于签名的一部份,超过80%节点共同签名才能向其他公链发起一笔正式的交易结算,而清算结果则决定了节点是否应该发出签名。
随着区块链技术和金融共识的演进,慢慢过渡到以区块链支撑的中心化交易所形态。每个中心化交易所,实际上都是一个去中心化体系中的超级节点。交易所的交易指令和资产都在可信的区块链上执行和流转,同时接受监管理机构的全面监管。
2019年,加密货币行业进入第11个发展年头,资金托管问题成为行业发展的关键。形成一套行之有效的资产托管方案,道阻且长,但未来可期。
本文来源于非小号媒体平台:
链闻速递
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3627130.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
关于加密数字货币和币,一定要知道的防知识全在这里
下一篇:
QuadrigaCX事件再次敲响「资产安全」的警钟
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。