最活跃公链遭黑客盗走8。5亿美元，是时候谈谈加密货币的安全策略

　　【编者按】 据媒体报道，北京时间10月7日，全球最活跃的公链之一的BNB Chain被黑客攻击，黑客利用跨链桥漏洞分两次共获取 200 万枚 BNB，价值约 5.66 亿美元。据区块链安全公司成都链安初步估算，由于还有涉及其它类型的虚拟资产，此次黑客攻击事件涉及金额在8.5亿美元左右。
　　＂加密货币超级安全＂的公众印象再遭重创。加密货币为何能够被盗？在监管缺失的现状下，交易平台应负什么责任？加密货币的持有者应采取什么安全策略？《互联网法律评论》特约专家黄斌律师在本文中详解上述三个疑惑。
　　加密货币是以数字形式存在的一种货币，是伴随着区块链底层技术发展为适应社会生产资料变化应运而生的，是建立在区块链技术上的一种具体应用。当前，全球加密货币种类数量已突破两万，我国持有加密货币人数也已超过2000万。
　　加密货币的粉丝以为区块链的不可篡改性可以保障加密货币的安全性，交易记录的分布式记账使加密货币相比普通货币更值得信赖，进而认为加密货币是超级安全的。
　　然而真相却是，加密货币是建立在区块链网络特别是公链上发行的一种数字资产，目前市场上有上千种区块链，实则各有各的的漏洞（见下文第一节分析），区块链的透明度，实则能让其主要漏洞容易被识别和攻击。再加上目前几乎没有监管的现状，导致加密货币被盗情形时有发生且越来越严重。
　　一、加密货币被盗的原因分析
　　区块链是一种由上万个节点组成的去中心化分布式数据存储账本，具有去中心化、共识机制、加密算法、不可篡改、可追溯性等特征。
　　区块链的哈希算法和非对称算法为元宇宙提供底层数据的不可篡改、可追溯性和保密性，共识机制（包括工作量证明机制、权益证明机制等）让每个节点共享一致的记账规则保证了具有真实性和不可篡改性的唯一结果之分布式账本，智能合约保证了在预设条件满足时在全网所有的节点上自动触发并生成新的交易，采用块状数据结构并顺位性形成一套完整的账本实现去中心化，采用代币或通证激励机制保证有足够的节点参与账本的维护。
　　区块链又可分为公链、联盟链和私链，相比而言公链基于全民共识机制开展工作具有公信力且是真正去中心化，私链是中心化的且建立在某机构或企业内部，联盟链也是中心化的且建立在联盟机构或企业内部。
　　加密货币是主要建立在公链上发行的一种数字资产，公链是任何人可以读取、发送交易并能依靠共识机制获得有效确认的真正去中心化区块链。
　　加密货币的安全威胁主要表现在：
　　1、  控制超半数节点篡改分布式账本。公链网络是自由开放去中心化的，理论上控制超半数节点就能篡改分布式账本；
　　2、  智能合约不能修改。目前市场上有上千种区块链各有各的的漏洞，一旦用于撮合交易等的智能合约的漏洞部署到了去中心化分布式网络上即具有不可篡改性，而不像传统软件行业打个补丁修复一下即可；
　　3、  跨链桥的漏洞。用于帮助实现不同区块链之间的资产流动的跨链桥很多根本不在区块链上，而是存储在其他服务器上。另外，跨链桥通过协议连接两个公链上的两个智能合约来进行工作，协议有漏洞容易被攻击，还有代码、验证方式和两端智能合约的访问权限管理等容易出现隐蔽漏洞，最后跨链桥多个区块链上操作并拥有数亿美元的托管资产增加了可能被攻击的管道；
　　4、  分叉带来的漏洞。由现有加密账本分叉而来的区块链的每次分叉又给了黑客篡改数据的新机会；
　　5、  使用者被钓鱼。使用者误入钓鱼网站或被电子邮件窃取了数据，又或者下载了假的加密货币钱包，导致加密货币被盗；
　　6、  私钥、助记词丢失。私钥决定加密货币的真正主人，具有独一无二的特性，保管好记录私钥的介质，同时离线备份自己的助记词，不进行保存到网盘、邮箱传输等触网操作；
　　7、  热钱包的漏洞。热钱包是连接互联网的加密货币钱包可随时用来交易，大额的加密资产应当放在冷钱包中，热钱包要采用多因素身份验证提高安全系数，并防止热钱包的安全漏洞；
　　8、  交易平台底层代码的漏洞以及数据库安全。交易平台底层代码的漏洞容易被利用造成网络通信延迟，实现加密货币的重复消费。交易平台技术上的错误配置漏洞等，容易导致用户私钥被黑客盗取。交易平台数据库容易成为攻击的薄弱环节，交易平台应当在申请提币、出币环节加强风控以确保资产的安全；
　　9、  SIM卡交换诈骗。黑客将被攻击目标的电话号码转移到了攻击者所持有的SIM卡上，并利用重置受害者的密码绕过双重身份验证和账号恢复过程中的漏洞侵入加密货币账户；
　　10、  恶意软件绑架。恶意软件将目标钱包地址替换为攻击者钱包地址，在交易过程中窃取加密货币。
　　二、加密货币交易平台的安全责任
　　随着区块链技术的发展，加密货币推动了Web3.0金融生态的发展，进而在全球金融市场扮演着越来越重要的角色。
　　加密货币交易平台是连接加密货币一级和二级市场的桥梁，是为个人和机构投资者提供购买和出售加密货币的实体平台，使用者可以在该平台将加密货币兑换法币或其它资产。
　　加密货币交易平台随着比特币、以太币等加密货币的发展而诞生，在加密货币世界中起到至关重要的交易、流通加密货币的作用。
　　目前，世界各国正在陆续制定相应监管规则，但规则制定出发点仅仅是基于反洗钱与反恐融资风险的防御性目的，而非规范加密货币交易及投资者保护，更非加密货币行业的长期持续稳定发展；另外，对证券型代币如临大敌严格按照证券法的相关要求进行管理，而 对实用代币、支付代币基本上是处于无监管状态。
　　2022年9月16日，美国白宫发布了《关于负责任地开发数字资产的首个综合框架》，这份报告中体现了联邦机构对于加密货币领域消费者保护、环境和国家安全等各方面的担忧。报告要求美国证监会（SEC）和商品期货交易委员会（CFTC）等监管机构继续协调努力，进一步打击整个加密货币行业的盗窃和犯罪行为；要求美国财政部必须在2023年2月底前完成对去中心化金融（DeFi）可能涉及的非法融资行为进行风险评估，并在2023年7月前完成对非同质化数字货币（NFT）的评估；届时，必须明确《银行保密法》、反告密法规等法律是否修改并是否适用于加密货币交易所和NFT交易平台。
　　香港、新加坡只针对证券型代币进行监管，对其他应用型代币、支付型代币以及交易平台则没有明确监管政策，但香港特区政府于2022年建议在港运营的加密货币交易所必须获得香港市场监管机构的许可，并且只能向专业投资者提供服务。
　　加拿大CSA（请给出英文全称）指引表明，交易平台上交易的加密货币即使不是证券型代币，但是交易平台在交易后没有向投资人立即交付加密货币，同样应当按照加拿大证券法进行规制。交易平台仅仅在其账簿上记录客户对其资产的所有权不构成交付，也即：需提出提币请求的情形不构成＂立即交付＂，因为用户提出提取要求后最终能否收到加密货币仍需持续依赖交易平台。加拿大加密货币新法案从2020年6月生效，加密货币交易平台和加密货币支付运营商被归类为提供金融服务的机构。新法案要求所有进行加密货币交易的人或实体都需要提供地址、邮箱、出生日期、公民身份、实体注册或成立日期等大量个人信息，交易地址（接受和发送）、来源、是否完成等加密货币交易信息。
　　日本是第一个将数字货币交易纳入法律法规体系的国家，《支付服务法案》修正案对加密资产交易服务商提出了更多的要求，要求服务商必须将客户的加密货币保存在冷钱包或者类似地方，并且与自己的资产分离；加密资产交易服务提供商必须每年由会计师事务所进行审计；加密资产交易服务提供商必须采取措施发现和暂停不当交易等。
　　加密货币的所有权与传统资产的所有权不同，其存储在一个去中心化的区块链上与地址及私钥相关联，而并非由第三方中心化机构所赋予。加密货币交易平台包括中心化交易平台和去中心化交易平台，去中心化交易平台通常没有中央管理机构，是由用户自行保管加密货币的平台，匿名性更高，加密货币通过智能合约在用户之间转移，通常不受证券法规制；中心化交易平台流动性更好，每笔交易需要收取一定百分比的佣金。
　　目前，中心化交易平台占加密货币交易总量的99％，全球前十大交易平台都是中心化交易平台。大多数中心化交易平台的现有经营模式都是由中心化交易平台控制用户的加密货币，加密货币通常不会转入用户控制的冷钱包，而是托管在交易平台控制的私钥的账户内，用户需要向交易所发出提币请求后才能获得相关加密货币。因此， 控制着用户加密货币而不受监管的中心化加密货币交易平台是高风险且高发平台，近年来不停地爆发加密货币安全事故。
　　加密货币交易平台在缺乏监管的情形下，应当从以下14个角度做好风险防范：
　　1、  将股东与平台的管理层和系统开发商分开，建立明确的组织结构，实行严格的内部监管制度；
　　2、  将用户的加密货币与自己的加密资产相分离，并保存在冷钱包或者类似地方；
　　3、  采用热钱包与冷钱包分离部署，热钱包运营冷钱包存储；
　　4、  大额转账需要核实客户身份，以防止洗钱；
　　5、  禁止一些匿名性高的加密货币，防范非法活动或洗钱；
　　6、  确保任何加密货币转移都必须使用多种身份验证方法；
　　7、  使用自动化安全产品，清洗智能合约中的漏洞；
　　8、  及时跟踪被盗的加密货币，标记所有收到＂赃款＂的地址，通知其他加密货币交易平台；
　　9、  将黑客账户列入黑名单，并与其他加密货币交易平台共享黑名单，防止他们将非法获得的财产兑现；
　　10、  按时开展由独立审计师执行的代码审计，对平台和跨链桥底层代码进行彻底审查和分析，及时发现代码中可能对平台和跨链桥安全性能产生负面影响的漏洞或弱点；
　　11、  施行实时分析和监控措施来防止攻击，通过严格测试代码来加快漏洞识别，制定和实施完善的事件响应计划并响应可疑活动，包括向用户发出警报；
　　12、  建立黑名单预警机制，对于已经公开的被盗地址、诈骗地址会有预警并直接冻结；
　　13、  要牢牢把控加密货币存储和私钥的管理、充值、提币环节做到，发现风险要第一时间关闭充、提币通道等；
　　14、  拿出部分比例的交易手续费作为投资者保护基金，并存放在独立地址专款专用。
　　三、加密货币持有者的安全策略
　　在我国，已经拥有2000万用户持有加密货币。
　　作为加密货币的持有者，应当尽到相应的谨慎义务保护自己的加密货币：
　　1、  应当注意防止误入钓鱼网站，应当在钱包官网选择下载具有多重签名的钱包，可以将一部分加密货币放在多因素身份验证的热钱包中，大额的加密货币放在冷钱包中；
　　2、  应当离线备份自己的私钥和助记词，助记词一定得抄录正确，私钥和助记词不要截图，尽量不要触网；
　　3、  谨慎授权平台访问加密钱包并赋予一定权限，防止钱包中的加密货币被盗；
　　4、  不要在邮件中随意点击陌生的附件，防止被钓鱼；
　　5、  在输入加密货币钱包地址时，仔细检查原始地址与粘贴地址是否一致；
　　6、  在大额交易前，可以先发送一笔小金额的交易进行测试；
　　7、  没有交易所是绝对安全的，建议使用多个交易平台进行交易以分散风险；
　　8、  不要在公共电脑或者是公共WIFI去登陆自己的账户。
　　一旦发生加密货币被盗事件，加密货币持有者的处置策略是：
　　首先应当及时报案并提供有价值的线索；其次，及时通知加密货币交易平台标记所有收到＂赃款＂的地址，并获得相应赔偿；再次，通过Blockcypher等区块链浏览器追踪锁定你的加密货币，防止被洗钱；最后，依据与加密货币交易平台之间的协议来确定纠纷解决的途径、仲裁地点、准据法律等。
　　中国用户应该了解的是，由于目前加密货币交易平台均设立在境外，境内法院可能并没有管辖权。
　　作者：黄斌
　　《互联网法律评论》特约专家
　　北京德和衡律所数字经济与人工智能业务中心副总监
　　【 免责声明 】此文仅代表作者个人观点，与本平台无关。本平台对文中陈述、观点判断保持中立，不对所包含内容的准确性、完整性或可靠性提供任何明示或暗示的保证。