【深链财经原创】

文 | 深链

2月8日凌晨，币安平台发生严重宕机安全事故，事件造成币安无法正常提供服务达60小时，直到2月11日才完成恢复正常服务。

时隔1个月不到，3月7日币安再遭“黑客+金融”式割韭菜式攻击。在极其短的时间内，币安连续发生两次严重安全事件。

游离于监管之外的虚拟货币交易所，后面隐藏的安全风险有多大？

笔者认为，无论从安全监控还是人员配置方面，币安都难以让人心安。

“黑客攻击”前传：和前期4亿美元“抄底”比特币事件有关？

3月7日晚，不少币安用户发现账户的各种代币被交易成了BTC。因为大量代币被抛售，导致绝大部分币种价格断崖式下跌。而黑客操纵的账号在1小时内用1万个BTC集中将VIA迅速拉升110倍！

很快消息不胫而走，市场陷入恐慌，直接导致比特币价格在短短几分钟跌幅达到10.8%。

此时，接到大量用户反映，币安也注意到了异常情况。为了防止黑客提币，币安暂停提币行为，迫使黑客无法套现。

正当人们将注意力集中到币安怎样处置黑客账户时，黑客却采取“声东击西”方式，在世界各个交易所早早挂出数字货币空单获利。

而有交易员联想到春节时期疯传的神秘买家豪掷4亿美元“抄底”比特币事件。这位神秘买家的比特币地址3Cbq7aT1tY8kMxWLbitaG7yT6bPbKChq64。该买家在2月9日到2月12日之间买入了大量比特币，其持有的比特币数量从5.5万个增长到了超过9.6万个。

深链财经对涉及地址3Cbq7aT1tY8kMxWLbitaG7yT6bPbKChq64进行了查询，发现该地址余额已达92347个比特币，价值近52亿人民币。

不过该地址并没有流出记录，因此分析师认为目前也不能判断此次事件是否与该神秘买家有关。

五问币安风控

事件发生后，币安迅速发出公告，将此次事件的原因归结为用户API Key钓鱼导致用户账号被黑客盗取。“币圈一姐”何一也用避重就轻的方式，以一个币都没丢为由，将矛头对准了国内的自媒体们，认为是自媒体们编撰故事，并表示是得罪人多被黑。

上一个一直以“一副总有刁民想害我”的姿态怼各方的，在笔者印象中还是“下周回国”的贾布斯。

回到事件本身，在短短的一个月内，两次发生安全事故的币安，风控真的到位了吗？

一问币安：钓鱼被盗完全是用户的责任？

我们知道钓鱼软件通常是以精心设计的虚假网页引诱用户上当，达到盗取用户账号的目的。

早期国内网银系统由于缺乏系统安全考虑，经常遭受钓鱼攻击困扰，并引起法院介入。从历年审判银行钓鱼案件结果看，受害客户和银行都需承担相应的责任。

2017年8月12日媒体报道，广州一位赵女士接到快递来电称其身份资料泄露，按指示上“最高人民检察院”网站查询后插入网银U盾，当天212万元理财款被盗刷。赵女士要求银行赔偿，一审法院判决银行担责七成赔偿148.4万元。法院认为转款行为非赵女士所为，银行未全面推行转账验证码的实施，责任在于银行。

原文链接：http://news.sina.com.cn/s/2017-08-12/doc-ifyixipt1222674.shtml

如果按照法院处理上述案件的逻辑看币安事件，被盗用户交易行为非用户所为，币安未全面保证API安全性，币安也应该承担相应责任。

实际上，因为意识到用户行为的不可控，为了避免网钓问题，银行和传统的证券交易所已采用强身份认证、反钓鱼识别和风险提示等综合措施，从系统层面来减少网钓事件的发生。

二问币安：交易API启用是否经过风险评估？

从攻击角度看，黑客获取了交易API的用户名、密码、密钥等信息就能进行交易。

API的这种身份认证方式属于弱身份认证，容易受到网络钓鱼、密码泄露等威胁。网络钓鱼是API面对的最主要威胁，因此，一般交易所都会对API接口进行特别安全保护。

币安对于系统上线有没有经过风险评估？

我们知道，专业的交易所产品上线前，都会从业务影响、系统安全风险等方面评估产品上线的可行性。对于这么一个安全级别依赖于用户安全意识，自身又没有足够安全保护措施的API，建议先暂时停用API，否则问题还是会重现。

三问币安：风控系统有没有主动监控？

币安3月8日称，币安从服务器日志列出了黑客在2月5日的攻击过程。

2月5日的攻击事件，在一个多月后才发现，而且是因为发生重大安全事件需要排查才发现？

一个有效的风控系统除了进行风险控制外，风险监控也尤为重要。我们不禁要问，币安难道平时没有风险监控措施？没有安排人员定期检查服务器日志？如果早点发现这些攻击线索，此次事件是完全可以避免的。

再者，如果黑客不是通过拉爆VIA 110倍，而是采取小额多次提币，通过这种“瞒天过海”蚂蚁搬家的方式，请问币安的风控系统能发现吗？

四问币安：回滚交易是否可行？

这一问是中国量化投资学会理事长丁鹏提的，丁鹏表示：币安采取的回滚交易，作为资深金融人士对此方式大感吃惊，因为交易所回滚交易，对于传统资本市场来说，几乎是不可能的事情。黑客事件对于交易市场来说这仅是一次意外事件，意外事件也属于市场本身的一部分。区块链最大的精神是数据不可篡改，币安采取回滚交易，让一部分的交易作废，那他是不是自己篡改了自己的交易数据呢？这明显有违区块链精神。

币安在随后的公告中，否定了回滚交易的可能，让事件则更加扑朔迷离。

五问币安：你真的重视安全了吗？

币安反复强调“安全一直是我们的首要任务”。然而深链财经登录币安招聘页面：

币安招聘大量的“做爱做的事”人员主要是以产品经理、开发人员和运维工程师为主，而对于业界常配的信息安全官、信息安全管理岗、信息安全技术系列岗位没有出现在招聘网站上。

在日益疯狂的市场操控和日益严峻的安全问题暴露后，虚拟交易所的风控问题成为焦点。

面对这些疑问，深链财经不仅担忧，币安现在的风控水平能保证一个月后不再发生安全事件？

为便于交流，请加深姐微信，拉你进入“深链财经区块链交流群”，定期组织嘉宾分享，交流行业干货。深姐微信：shenlianvip

识别二维码，添加深姐为好友