如果2017年教会了币圈什么的话,那肯定是安全方面的教训。全年黑客攻击的数量和数百万美元的被盗加密币给我们发出了一个明确的信息:加密货币交易需要重大革新。
这个改变的基础是什么?去中心化交易平台。
2017:备受黑客攻击困扰的一年
即将落幕的2017年使加密货币闻名全世界。然而,随着关注度的提高,脆弱性也随之而来。这一年既见证了加密货币的繁荣,也让它陷入恶人之手。
在整个一年中发生了十多起攻击事件。从交换平台到钱包服务再到ICO资金,黑客们因系统漏洞大获收益。根据目前的市场价格,今年被盗资金的总价值在5亿美元左右。这个数字还不包含2017年之前的黑客攻击,例如Bitfinex和Bitstamp、以及使市场进入冬眠臭名昭着的Mt. Gox违约。把这些加到计数器中来的话,这些年来,被窃取的加密货币价值已经超过了125亿美元。
同样遭受这种困难的还有钱包。在7月份,黑客入侵了一个颇受欢迎的以太坊多重签名钱包Parity,偷走153,000 ETH(按目前的汇率价值将近2亿美元)。11月,一个Tether金库钱包被一个与2015年Bitstamp攻击有关的黑客攻击,损失了3100万美元。
然而,总的来说,2017年的加密货币交易平台首当其冲,特别是韩国的交易平台更是黑客的热名单。前称为Yapizon的Youbit在2017年4月份损失了3816个比特币。黑客攻击时其价值为500万美元,现在市值超5000万美元。更糟糕的是,Youbit在去年12月再度遭受重创,迫使其在损失17%的资金后申请破产。此外,在7月份,有消息传出韩国最大的交易所Bithumb的3万个用户账户遭到数据泄露,导致数十亿韩元被盗。按目前的市场价格计算,客户至少损失1000万美元。
去中心化的交易平台或许可以提供解决方案
所有这些遭受损失的交易平台——Bitstamp、Bitfinex、Youbit、Bithtumb——都是中心化的。这不是什么不寻常的事情,因为大多数的主要交易平台都是中心化的。这有明显的原因,最明显的就是方便,但是这些原因往往忽视了安全问题。
当交易平台是中心化的时候,中心有两种形式:资产控制和系统管理。通过资产控制,交易平台的运行很像银行这样的值得信任的机构;当您使用中心化交易平台时,您同意让交易平台持有您的资金并私下存入您的账户,直到您想要提取您的货币。交易平台通常将客户的资金存放在热钱包储备(在线)和冷钱包储备(离线)中。
另一种中心化的方式跟交易平台存储数据的方式以及用来支持自身的基础设施有关。为了适应网站流量,大的交易平台需要将服务器空间外包,通常外包到云服务中,这通常意味着托管服务器被分配到了单一来源中。
开始明白了吗?如果黑客想要进行中心化的交易平台,他们只需要通过一个中心化的入口通道,通常是第三方托管服务器。 一旦进入,黑客就可以获得中心化资金来源,交易平台的热钱包储备和私钥。
当然,大的交易平台有一些安全的功能,来防止恶意的攻击者。但正如先前所表明的那样,这些措施并不足够。
这就是为什么我们需要去中心化的交易平台。他们弥补了中心化交易平台因为其固有的设计而不能弥补的缺陷。因此,去中心化交易平台(简称DEX)提供了一系列增强的安全优势。
没有可进入或可控制的中心点
不像中心化的交易平台,DEX不受单一实体的控制。当然,人们使用交易平台进行访问的域名服务器是中心化的,但是市场不是受一个实体控制的,交易平台也不是受一台服务器支持的。
就目前来看,大多数去中心化的交易平台都建立在以太坊区块链上,并且由节点网络而不是中心化服务器来支持。这意味着攻击者不得不破坏一半支持交换的节点才能控制它,这几乎是不可能的。
用户控制资金
由于没有一个实体拥有DEX,因此也就没有控制用户资金的中心化枢纽。去中心化的交易平台并不是基于信任的,这意味着用户总是控制着他们的资产,所有的交易都是点对点的。
为此,DEX使用以太坊智能合约来管理货币。一旦资金被锁定在智能合约中,只有拥有相应私钥的人才能接触资金。在一个中心化的系统下,你放弃你的私人密钥,并把它们汇集到一个反映交易平台热钱包储备的单一分类帐中。如果黑客拿到这些私钥,你的资金就可以被偷走。在一个去中心化的系统下,你一直控制着自己的私钥,只要你不向恶意的第三方透露,你的资产在DEX的智能合约中是安全的。
与硬件钱包结合
这也许是DEX提供的最大的好处。大多数去中心化的交易平台例如Ether Delta和IDEX,可以与Ledger Nano S或Trezor的硬件钱包同步。除冷储蓄外,硬件钱包是存储和管理个人资金的最安全选择,因为它们不会受危害软件钱包的恶意软件的影响。使用符合DEX的硬件钱包,您可以插入您的Ledger或Trezor,并直接将资金汇入交易平台的智能合约。这比手动输入您的私钥更可取,因为手动输入容易受到钓鱼攻击和键盘记录的攻击。
DEX仍然有很长的路要走
虽然去中心化模式比受欢迎的中心化模式更好,但是它目前的运作方式还远不够完美。正如EtherDelta去年12月教给我们的,通过交易平台的域名服务器他们仍然可能会受到网络钓鱼的攻击。不过,正如我在这里所讨论的那样,交换平台固有的安全特性能使所造成的损失最小化。即使使用假冒网站,使用Meta Mask或Ledger管理资金的帐户也是完全安全的。只要你从未在欺诈性的域名上透露你的私钥,那么你在他们的智能合约中的货币就是安全的。以今天的兑换率计算,有超过50万美元的资金被偷走,虽然这个数字不值得庆幸,但这比中心化交易平台中被偷窃的要少得多。
来继续说DEX的缺点,中心化的交易平台更受欢迎的原因是:它们更便于使用。新来者可能会因为开始交易时他们必须应对的智能合约迷宫而感到沮丧。 当然,使用DEX不需要进行注册或验证,但是每次想要交易时,你都必须将资金从个人钱包来回地转移到交易平台的钱包。每当你想要转移资金或进行交易的时候,你也要受到以太坊网络的控制。当网络拥挤时,好的情况下你可能会面临更高的交易费用,最坏的情况下,你可能会遇到一个瘫痪的、没有反应的交易系统。
目前有一些项目正期望能改善这些问题。例如,0x正在实施与链上交易系统相结合的非完整链式订购系统。 从理论上说,这将能给DEX一个中心化交易平台的快速订单匹配系统,而不用牺牲其安全性。另一家DEX,Blocknet希望通过交叉链接原子交换来精简去中心化交易,并使其更加安全。
我相信去中心化的交易平台将是加密货币交易的未来,因为它对于生态系统的财务状况和未来生存来说是必需的。希望2018年能够为这个不完善的体系带来一系列的创新,希望这些创新能帮助弥补现行中心化标准所带来的损失。