主页 > imtokendapp授权 > 交易所老板的真实生活
交易所老板的真实生活
“许星星曾经梦见有人绑架了他,让他交出比特币,他从梦中醒来,第二天重新设计了交易所的安全机制。”
自从开了交易所,每天睡不着觉,担心客户资产被盗。
就连OK创始人徐明星在创业初期也曾经历过这种心情。现在交易所的创始人也不例外。
牛市来了,他们眼中最大的熊市可能是黑客。
毕竟在牛市中卖币可以赚更多的钱。正如区块链安全公司 PeckShield 副总裁吴家志所说,攻击交易所的黑客是一群熟悉交易所系统和加密货币的人,因此出售被盗币的时机也很重要。 “在比特币站上8000美元之后,之前被监控的黑客地址又开始活跃起来,里面的币经常在几次易手后流入交易所套现。”
市场带来的是交易资金量翻了一番。自然而然,这个战场成为了创业者和资本的热点,也成为了黑客的攻击目标。
据慢雾统计,自 2019 年第二季度以来,包括 Binance、Coinbase 在内的近 10 家交易所被黑客成功攻击,损失超过 7600 万美元。
由于黑客攻击,一些未命名的交易所被关闭,而那些没有关闭的交易所可能只能承受损失。
交易所从熊市的惨淡中幸存下来,但也没有逃过牛市的黑客。
创始人被盗币吓坏了,创始人睡不着
斌创离开了,留下了“交易所的坑,真是站不住脚”这句话。情绪化。
业内人士透露,在币安7000比特币被盗前后(5月初),多家交易所也被黑客洗劫一空,不少小型交易所面临倒闭压力。
小交易所的创始人自那时以来一直承受着很大的压力。 “虽然后来填坑了,但据说创始人从那以后一直失眠,精神不振,几个月后还不够,所以决定关站。”
OK创始人徐星星曾经梦见有人绑架了他,要他交出比特币。投众网报道称,他从梦中醒来,第二天重新设计了交易所的安全机制,将冷钱包密钥交给多人管理并建立远程备份。
在交易所安全的历史上不乏经验教训。 10万比特币被盗的门头沟和Bitfinex,依然对相关方影响深远。
每个担任交易所CEO的人,就像突然登上王位的达摩克利斯一样。在他的面前,除了眼前的美酒佳人,还有一把利剑,悬在宝座之上,只有一根马毛。对交易所而言,这把剑就是随时都会面临的黑客攻击,亿万财富可能一夜之间流走。
“所有开交易所的人最担心的是被盗币。没有最安全的,只有更安全一点,更安全一点。” HB.top交易所创始人姚远坦言,“黑客和政策禁令是一样的。 ,是交易所最关心的两大问题。”
每次发生盗币事件,都会刺激姚远的神经。币安被盗后的第二天,赵长鹏在一次在线直播中向用户保证并详细说明了赔偿方案。 “我看得出他整晚都很憔悴,发生这种情况时,我不得不付账,我很担心发生在我身上的事情。”姚远坦言。
别人的钱包不敢用,自己的也不敢用。
交易所需要每天为提现准备足够的流动性。据业内人士透露,每天早上都有几位创始人联手转账,从一些交易所提款。 p>这种仪式感每天都在提醒他们,他们是行业最大的中心,也是最大的目标。
“不止一位交易所创始人告诉我们他很担心睡不着觉,然后反复要求我们做好测试,加强系统安全。”慢雾科技合伙人海贼王同时也是安全负责人告诉Odaily星球日报。
一位交易所领域的创业者表示,“中心化交易所创始人的煎熬其实挺大的,毕竟能赔钱的人屈指可数,交易所要自己做钱包,别人敢不用钱包,有的甚至不敢用自己做的钱包。”
创始人的焦虑并非没有道理。根据慢雾团队提供的数据,自 2019 年第二季度以来,包括币安、Coinbase 在内的近 10 家交易所被黑客成功攻击,损失超过 7600 万美元。
姚远每天都能看到自己交易所购买的阿里云和亚马逊云在分析日志中提交的恶意扫描和服务器攻击报告。 “看着很着急币团网交易所创始人,每天要工作12点,谨慎操作,反复检查系统的健康指标,虽然很无聊,但是很重要。”
在恐惧的控制下,一些负责人交易所不惜一切代价寻找高级安全人员。
“安全人员的行业平均工资通常是同等学历程序员的两倍。拥有特殊能力的人甚至没有上限,甚至可以提供比老板更多的Offer。”吴家智告诉Odaily星球日报。
吴家智坦言,已经有好几个合伙人接连收到了猎人的offer。
除了人员投入,还有钱包、托管服务等投资。根据 Coinbase 一年前公布的报价,其托管服务将收取一次性 10 万美元的费用,每月增加 10 个基点,并要求客户拥有至少 1000 万美元的加密资产余额。
高昂的安全成本确实是普通交易所无法承受的。 Bitron创始人在微博上表示,安全成本是选择关闭的原因之一:“小团队的开发资源极其有限,不可能在保持进度的同时将大量精力集中在安全上。函数。”
交易安全的坑数不胜数
这么高的安全素养是交易所踩过的坑教出来的。
1、病人黑客卧底半年末闭网
5月初,币安被盗。北京联安分析认为,问题出在黑客长期渗透币安内网,从而轻易获取用户密钥等相关信息,进而提币。
在此之前的一个多月,DragonEx、BiKi等平台刚刚被黑客组织Lazarus“渗透”。
据360安全专家称,Lazarus通常会花半年时间调查交易所的内部结构,然后伪装身份与交易所人员进行长时间的交流。
“我们都是朋友,谁会有这么强的防备意识?” 360安全专家说道。时机成熟时,会向交易所人员推荐带有恶意代码的自动交易软件。一旦招募到交易所人员,黑客就可以控制云端的计算机,获取他们想要的信息和权限,为所欲为。
“我们从去年10月份就开始准备,今年1、3月份终于关闭了网络。”当患者拉撒路关闭网络时,仅 DragonEx 就获利 4000 万元。 “面对这种长期存在的、精心设计的陷阱,大多数公司都无法忍受。” 360安全专家补充。
2、当安保人员意志薄弱时选择
普通的黑客,即使没有拉撒路那么有耐心,为了提高成功率,在前期测试后也会埋伏。时机成熟,重新开始。
姚远最不喜欢过节,因为现在是最危险的时候,他必须尽量防备这些人。 “黑客常年盯着你的小金库,即使在大年初一和初二,也有人被偷,黑客们晚上还在外面,2:00到5点还有人值班监控早上00点。”因此,只有10人的HB.top拥有3名安保人员。 ”
3、不要吹嘘自己在安全方面做得有多好。
安全无小事,大事发生时,仍有交易所无视此座右铭。
p>
安全行业从业者 Ken 告诉 Odaily 星球日报,交流不应高调和夸张。一些交易所可能已经很久没有上线了,所以他们在社交媒体上吹捧他们的技术是多么强大和安全。
p>
“什么?那我得挑战一下,黑客看到后很可能会激动。所以安全方面的事情应该默默地做,漏洞少,零损失。”Ken说。
4、被盗的硬币不知道为什么它们是最糟糕的
风险预警只是安全攻防的前半部分,另一半发生在黑客攻击后的处理能力,如果处理得当,无疑可以将损失降到最低甚至为零。
有时,拍盾团队会遇到被攻击的客户寻求帮助。这个时候知道被攻击的事实很麻烦,但是不知道问题出在哪里。
“刚开始工作时,我感到很困惑,压力很大,有时需要连续熬夜一两个晚上才能解决问题。 ,然后慢慢习惯了。 ”吴家之说。
去年7月,HB.top发现钱包里少了几百个USDT,于是赶紧查了一下,发现有黑客发起假充值攻击,即黑客冒充交易所内帐户。他冲进了USDT,实际上是利用了交易所的机制漏洞(假充值账户在USDT到来之前就被赋予提款权)币团网交易所创始人,让黑客在几分钟内提现,从而造成亏损。
发现问题后,HB.top立即检查了黑客的账户并调整了机制,在账户收款记录被批准后开通提现,从而防止了黑客进行较大金额的虚假充值。
后来的事实证明,黑客这种“创新”的攻击方式已经俘获了大量交易所,部分交易所损失了高达数百万美元的USDT。
综上所述,很多从业者认为,在交易所安全的各个方面,人都是最脆弱的。
首先,老板的安全意识有多高,私钥存储时愿意信任的人的范围。二、安全投入、机制设置和安全教育是否落实到位?
正如姚远所说,人性薄弱的地方,就应该受到制度的约束。比如有的公司设置了内外网关卡,实现网络还规定所有员工都需要安装杀毒软件,不要点击未知链接等。
丢币不可怕,可怕的是交易所没钱可丢。
交易 交易所本身的安全性是一方面;另一方面,资产的安全是交易用户。
上述创业者认为,用户在选择交易所时并不会过多评估交易所的安全性,毕竟大办公室也会被盗。
那么用户主要寻找什么?
关键是看交易所在亏币后是否能负担得起。这涉及到交易所是否为被盗币设立赔偿基金,以及攻击后该怎么做。如果兑换补偿到位,被盗币也可能会增加品牌价值。 “我不知道大交易所是否安全,但我知道他不会。逃跑。”
目前大大小小的交易所都倾向于赔币后全额赔付。
但在安全从业者眼中,一种交易所的安全性会让人们对那些突然火起来的交易所的黑马颇为关注。
很多交易所早期不注重安全防护,快速发展后很容易成为黑客眼中的Easy Girl。我们看到,在过去的三个月里,Biki、Matcha等新兴交易所相继被黑客洗劫一空。
吴家智坦言,与两年前相比,现在从业者的安全意识和防护技术确实更好。提高。一些交易所甚至购买了昂贵的服务,例如托管钱包和AWS的密钥托管服务(KMS)等。
在多项措施的情况下,我们可以看到盗窃交易所的数量大幅下降。
数据来自:慢雾
但安全从业者知道,人造系统有不同的被征服的可能性。换言之,安全问题是交易所的致命弱点,将永远存在于行业中。
