这两年区块链火热,很多朋友就进了项目方和交易所。码农这个圈子很小。行业里有点什么事,一夜之间就都知道了。刚在一个技术交流群有人转了一个和交易所API交易有关的文章,讲一个API用户在火币丢币了,并得出结论说交易所API交易都含有巨大风险。
坦白讲,我看完这篇文章之后,第一感觉,在交易所丢了币,不论原因在谁,骂一骂交易所都正常,用户至上嘛!但如果说这是典型的黑客盗币,并引申说交易所API都有巨大风险,这个逻辑就说不通了。
丢币的原因:公钥私钥提交到GitHub账户
其实文章里已经说了,丢币的原因是用户把API公钥私钥传到了GitHub账户上。
GitHub是码农社群聚集地,也是黑客和超级码农的肥沃土壤。比如CIH病毒制造者、大神级人物陈盈豪,1998年就让全球6000万台电脑瘫痪;再比如大家都知道的金山毒霸和WPS的缔造者求伯君,都是GitHub的元老级人物。当然GitHub的近千万用户中绝大多数还是老实干活养家糊口的码农。但因为在GitHub,用户可以十分轻易地找到海量的开源代码。所以在这个社区发生“溜门撬锁”的事情没什么意外的。
我跟朋友聊天时曾说,如果你把API密钥扔在某些地方,可能一点事没有,比如你在娱乐新闻贴吧把API密钥扔出去,那聚集一帮八卦青年根本看不懂。意识不到这些字符串是什么意思。但要在GitHub上,这可有好多人一看就知道捡到保险柜钥匙了,而且通常保险柜里宝贝还不少,他们还会小心翼翼、不留痕迹的转移你的资产。
作者还认为火币过错有三点,第一是API用户无法有效识别自己的用户;第二是对异常交易行为无动于衷;第三是反映迟钝。在我看来,有两条是站不住脚的。我来拿事实和技术原理说话。
首先API交易并不是火币或哪个交易所无法有效识别自己的用户,是API交易本身就会减少中间识别环节,以便于量化操作。
API(Application Programming Interface)意思是“应用程序编程接口”,放在这个语境下,就是程序化交易的意思。API交易最早都是用于股票,它可以设置各种条件,进行自动监视、买卖、盈利、止损等。币圈交易所的API交易跟股票交易所API交易是一样的,都会设置条件进行全自动交易。API交易还可以一台电脑开多个账户,多任务同时监控,以解决复杂繁重的操盘工作,所以很多用户在设置API交易条件的时候,就省去中间验证环节了,因为验证本身就是主要的繁重工作之一。
所以API用户开通时,会做大量验证工作,是因为很多API用户在开通以后,就不会每次都验证了,因此API开通时候要验证短信验证码、邮箱验证码、谷歌验证码三个验证码,以保证本人操作。
用户在申请API的时候,交易所会提醒API用户绑定IP,以识别异常IP登陆行为。显然作者并未绑定IP,这也是给盗币者钻空子的空间,因为不设IP,系统会默认任意IP地址都可以进行API交易操作,其他人拿到API key 也是改不了的。
至于说交易所对异常交易行为无动于衷,我们首先要搞清楚,什么样的行为叫做异常,这个不好界定。因为理论上来说,交易所是一个自由交易的市场,用户的买卖行为交易所不应该过度干涉。当然,交易所的风控措施是应该要做好的。
目前交易所API软件一般每秒能处理十几笔交易,3个小时就能处理2000多笔交易。不论是股票交易所还是币圈交易所,在后台系统看来,用户的自主性行为,包括“高买低卖”的行为,很难说什么时候该干预,什么时候不该干预。
当然我也主张应该设置更严密的参数设置来监控API用户交易,但并不是符合人性“买低卖高”的,监控就应设为正常;反之就应设为反常,两者可能都是正常的。后台人员要做的,就是分析人操作背后的动机。这些行为背后,未必都是黑客盗币成功,要转移资产了,需要区别对待。所以我说存在系统辨识难度。很多时候,数据分析首先主张“存在即合理”, “买高卖低”的,背后可能有不可言说的秘密在。这应该是所有交易所在监控平台交易时,不断进行数据分析、经验总结和程序升级的。
但是作者有一点说的是对的,就是对于一些低频交易的币种,如果突然交易量多了起来,系统应该引起注意。这是交易所应该改进的,这话没毛病。不过黑客几天才操作2000多次,在动辄上万笔的API交易看来,认定它是高频异动,显然也有难度。
在数字货币的世界就是这样,密钥丢了币就没了。国外一哥们从2009年就开始挖比特币,存了7000多个比特币,结果存有密钥的旧电脑当垃圾扔了,垃圾站都填埋了。这哥们郁闷啊,甚至想花巨资掘地百尺也挖出来。搁现在行情也2700多万美金呢!
所以,就这个事情本身而言,并不能推导出交易所API交易存在安全漏洞问题。
对于吃瓜群众来说,通过这件事大家可以得到一个教训,不论你的冷热钱包密钥,API密钥,最好写在一个本子上放在家里,本子自己不会联网,你把本子保管好,不让其他人知道。这是最保险的方法。否则都要承担丢失的代价,这个代价是很昂贵的。
免责声明:科技狗对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。 本网站转载图片、文字之类版权申明,本网站无法鉴别所上传图片或文字的知识版权,如果侵犯,请及时通知我们,本网站将在第一时间及时删除:yzl_300@126.com
