58学院第十八期AMA《危机来袭,如何选对交易所?》
这周绝对是不平淡的一周。周一,OKEx交易所就传出了其创始人被警方带走调查的消息,而其平台随后即宣布暂停提币的业务,用户资产一时被困,OKB也应声大跌。这次的事件不禁令人思考,对于投资者来说,该如何选择一个靠谱,安全的交易所?在关系到用户的资金安全方面,交易所应该具备怎样的风控体系?本期58学院AMA邀请到了链想家的联合创始人王楠,携手58TOP天团成员YOYO,和大家一起谈谈关于选择交易所需要注意的一些事项。
YOYO:最近,某交易所创始人被警方带走调查的消息闹得币圈人心惶惶,其平台也发出公告宣布暂停提币,这次的事件会带来什么影响?
王楠:OKEX暂停提币事件将中心化交易所的硬伤暴露了出来。从全行业来看,资产权利集中、没有足够的备付金机制、风控系统和合规系统的缺失基本是币圈交易所的通病。本次事件或将推动大部分中心化交易所对财产安全、金融风险相关基础设施的投入。对于交易所而言,交易安全、财产安全以及资金安全才是至关重要的。
YOYO:对于交易所而言,完善的风控体系是重中之重,如何判断一个交易所是否具备完善的风控体系?
王楠:数字货币成为投资新靶标,也成为众多黑客眼中的肥肉。细数从前,不乏大型交易所被攻击:2014年,Mt.Gox被盗85万枚BTC,惨遭清算;2017年,韩国交易所Youbit遭受黑客攻击,直接破产;2018年,日本最大交易所Coincheck遭黑客攻击,损失5.3亿美金。交易所安全事件频发的背后,不仅反映出数字货币交易所草莽生长的丛林环境现状,也暴露出了去中心化架构下的区块链资产生态的硬伤。作为区块链资产的流量入口,钱包私钥掌握着交易所的生命,对于交易所用户来说,账号决定一切。用户账号、交易所私钥一旦失窃将可能无法通过管理手段找回财富。事实上,区块链资产保管存储的安全性一直是监管部门所担忧的。直到2018年10月美国监管部门批准Bitgo开展数字货币托管业务,为华尔街进入区块链世界打开安全门,才扫除了美国议员对区块链资产安全的担忧。Bitgo托管业务获批被认为是区块链世界发展的重要标志事件之一。近日OTCBTC创始人亲自撰文,细数交易所的致命安全风险。在她看来,除了资产保管安全外,与传统交易所不同,数字货币交易所的风险还包括线上钱包、智能合约漏洞等威胁。现实情况下,很多小型交易所没有冷热钱包分离措施,或者就算冷热钱包分离,也没有严格执行定期分离的措施,导致 web 被入侵,钱包的钱在站上,同一组密钥就被转走。最后直接导致交易所破产。再者是上币项目的智能合约漏洞,很多项目方的币是基于 ETH 或 EOS 发的 Token,这些项目基于智能合约设计,智能合约出现漏洞,就很容易酿下大祸。不是项目方倒大霉就是交易所倒大霉。在金融行业,监管不仅仅对业务和规则的监管,还包括信息科技的风险管理。科技风险也作为操作风险反映在巴塞尔协议Ⅲ。一旦纳入监管,如果出现数据回滚、停机事故、盗币事件,交易所面临的将是监管部门的巨额罚款、牌照吊销、内部整改等严厉惩罚。
作为食物顶端的交易所来说,满足监管合规要求是交易所安全建设的必由之路。安全是个持续对抗的过程,魔高一尺道高一丈。安全又是一个繁复的工作,从架构设计到日常运行,细无巨细。作为行业早期开荒者,ZB、火币等老牌交易所已经运营五六年时间,从一开始就将资产安全视为生命线。他们的优势在于,安全风控系统已经历足够用户量级的检验。除了常规的系统安全设计外,老牌交易所的安全管理更为全面和扎实。针对钱包存储的安全风险,http://ZB.com采用冷热钱包隔离,多签授权、黑名单等权限控制,同时还增加了人工校验流程,对钱包余额、头寸进行核实,其目的之一是提前发现内部人员内鬼行为。在金融系统中,通常在营业结束后,也会对收付单据的余额、头寸和系统进行比对,其原因也是为了及时发现内部违法或错帐行为。在全球系统安全走在前面的Coinbase、Kraken、BitMex还引入众包安全评估Bug Bounty。Bug Bounty是为个人提供的在安全系统中发现错误,漏洞或的奖励。这些程序为开发人员提供了发现错误,解决错误和防止广泛滥用事件的机会。国际安全权威机构CSS建议每个交易所都必须有一个公开的,自我托管的Bug Bounty计划。在理想的情况下,Bug Bounty程序应该在第三方的平台进行
不可控的用户生态从安全问题发生的部位分析,可以为交易所端和用户端两个场所。只要肯砸钱,肯招人,交易所端发生问题不难解决。针对内部管理问题,可以通过构建多层堡垒机制、建立相互制约机制、多层次审批等机制,针对黑客行为,可以收缩攻击面、严控API接入,购买保险解决。让交易所老大难以入睡的是发生在用户身上问题。用户代币被盗,即使被盗金额很小,如果处理不当,都有可能波及交易所声誉,引发维权。业界知名安全风险师Tony分析:“用户的安全意识薄弱,用户电脑端、手机端使用环境的安全级别是引发用户代币被盗的原因之一。”为了最大限度避免用户引发的问题,吃过亏的老牌交易所都很重视用户身份认证的设计。在真实世界,对用户的身份认证基本方法可以分为这三种:(1) what you know ,你知道什么,比如用户密码、ID。(2) what you have ,你有什么 ,比如智能卡、Google认证。(3) who you are ,你是谁 ,比如指纹、面貌等。
1、在网络世界中手段与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面3种挑选2种混合使用,即所谓的双因素认证。
有些交易所在初期上线时,通常只提供基于用户/密码的认证方式,也即是第一种认证方式--what you know。他解释,交易所用户安全机制应该全方面设计,除了技术上提高用户端安全性外,http://ZB.com还建立了反洗钱机制,应对可能出现的非法资金进入及控制,利用大数据做交易行为和资产变化分析,识别具有洗钱倾向或其他违规行为的用户。区块链引发的资产代币化催发了交易所的野蛮生长,游离于金融监管之外的交易平台暂时没有了监管的压力,但这并不意味着可以在安全防范有所松懈。1、用户在选择投资平台或者投资标的时候,选择不宜过于单一,数字货币市场是高风险的,不把鸡蛋放到一个篮子以规避风险。
2、投资者应提高安全意识,保证私钥的存储,使用安全,避免在不安全的环境下使用秘钥,谨防钓鱼诈骗等。
3、交易所要对系统安全体系有足够的重视,不仅要有合理的安全架构,更要对系统进行整体的安全测试,对于安全公司已经报出来的安全漏洞要及时自查,避免遭到同样攻击。
4、交易所要建立完善的风控应急预案,交易所无论技术多么成熟也可能百密一疏被黑客找到可以利用的漏洞,因此在交易所系统中,突发事件引起交易异常和资金被盗时,完善的应急处理机制和补偿机制就显得尤为重要,例如采取风险基金来应对出现的安全事故,或者为用户资金投保,来对冲数据泄露或盗币事件对用户资金带来的影响。
5、交易所项目方在难以对自身交易所系统进行全面的安全系统架构时,就需要考虑使用第三方的安全产品或与安全公司合作来共同打造交易所的安全交易环境和风控应急处理机制。
YOYO:作为投资者而言,怎么判断一个交易所具备充足的流动性和兑付能力?
王楠:交易所中可交易的数字货币数量、开通交易对的数量、币种间流动性(平均每种数字货币对应的交易对数量)、资产类别构成是衡量交易所流动性的宏观指标。一般认为,可交易的数字货币种类越多、交易对数量越多、币种间流动性越高、资产类别覆盖越广泛,交易所的宏观流动性越好。
兑付能力的话,这个不好说啊,要么你知道他的钱包地址,但是那是热钱包... 其实一般都是看深度,如果一个交易所兑付能力一直很好,至少他的主流币深度是足够的。
YOYO:近期,BitMEX高管因违反了CFTC的AML和KYC法规而被捕,英国,韩国和菲律宾等国家也都在加紧监管加密货币行业的步伐,您认为未来加密货币行业未来的发展方向是什么呢?
王楠:(“下一个周期将围绕'资产数字化'展开,其中主流金融专业人士意识到,在区块链上发行实物支持的数字资产(如黄金、房地产、大宗商品等)和纯金融资产(如公司债务工具、信用违约互换等)将带来巨大利益。我们需要的是一个金融互联网,在这里,任何一种资产都可以以其独特的属性来发行,以合法合规的方式在其整个生命周期中运行并在全球范围内进行交易。”
◆①加密资产的共识:当一个金融产品上升到国际层面金融体系的影响,这本身已是最大的前景!
②国家认同方面:从最初的不认同,到逐步开放,加密货币越来越多的得到各个国家政策的支持,在前十大经济体国家中,加密货币已在7大国家取得被允许交易的状态:
◆③市值:从维护全球金融稳定的角度来看,加密货币,成为合法的金融产品已成为既定事实。未来发展,不可限量。
◆④投资人类型转变:投资机构大举入场加密货币,这种投资人类型的转变,已充分表明加密货币未来的前景有多大。而从5月份到现在,比特币前100大地址增加持仓12万枚以上,以增加持仓的成本来看,未来,加密货币上涨仍有很大空间。
◆⑤巨头入局:巨头入局,将更快推动区块链项目及加密货币向全球化和包容性的金融体系迈出一大步。。
YOYO:对于普通用户来说,怎样才能选择一个安全,靠谱的交易所?用户需要着重注意哪些事项呢?
王楠:数字货币交易所有很多,据统计的就有几千家,甚至交易所的数量可能比数字货币本身还多。主要还是因为没有监管,任何人都可以开设一个交易所,吸引大家来交易。
那么我们怎么在这么多的交易所中,选择一家交易所来进行交易呢?主要有以下一些考虑。
(1)安全性
选择交易所最重要的标准当然是安全,也就是你资金的安全。现在交易所都是中心化的,也就是说你的币和你的钱,都是存在交易所里面的,是在交易所的地址和银行账户里面的。而这些交易所又不受监管,这些钱和币人家都可以随时卷走。当然这一条说了等于没说。因为都是中心化交易所,所以都不是百分百安全。要做好觉悟。历史上也出现过交易所跑路的的事例,另外更多的是黑客攻击、内鬼偷钱等,这些都会导致投资者的损失。当然一般来说大交易所是没有动机主动黑你的钱的。人家手续费本身就赚的盆满钵满的(数字货币领域的手续费普遍很贵),有这稳定的现金流,不会只为了黑一次钱,而杀了下金蛋的鸡。要想保证绝对的安全性,只有两种可能,一种是政府监管。但是这和数字货币的初衷本身就相违背。另外一点就是等待去中心化交易所技术的成熟。我觉得去中心化交易所技术有所突破的时候,就是数字货币和区块链会产生真正社会影响的时候了。
(2)成交量
我们做交易要选择成交量最大的交易所。成交量大的交易所,它的盘口深度才足够,你才能够最快的进行交易。成交量大的交易所被操控的概率也较低。并且成交量大的市场有定价权,比如最近Bithumb(一家韩国的交易所)上EOS这个品种的交易量就是最大的,据我观察它的行情会比其他交易所快上10秒,这是可以利用的一个非常好的交易方法。关
(3)是否提供法币为本币的交易
之前数字货币交易所很多都是提供以法币为基础的交易的,让我们可以用美元、欧元、人民币等来交易数字货币。但是因为受到监管的原因,现在这样的交易所越来越少。例如目前没有以人民币为基础的交易所。所以有些交易所,就把比特币、以太坊、莱特币等主流数字货币作为基础货币,让我们来进行交易。例如我想买入EOS这个币,我必须使用比特币才能购买。这给我们交易增添了很多麻烦。也有交易所提供USDT这个币作为基础货币。USDT名义上和美元是一比一的关系,它是由一家公司发行的,每发行1个USDT,就会储备1美元,可以自由兑换。但是圈内对普遍USDT也不是那么认可,因为没有人见过这家公司储备的美元在哪里。所以最好还是使用提供法币交易所。国内几家大的交易所,例如火币、OKEx、币安,因为政策原因目前都不提供以法币为基础的交易。国外的一些交易所,例如Bitfinex、Bithumb等是提供以美元、欧元、韩币等为基础的交易。
(4)交易品种的多少
目前数字货币的品种有很多,成千上万种,虽然大部分是垃圾币。但是做投资的都知道,垃圾币不一定不存在交易机会。每家交易所他们上的币的数量是不一样的。这和交易所的策略有关。有的交易所就是什么币都会放上来。在这些交易所中可能有几百个币在交易。例如国内的币安,国外著名的P网(poloniex)、B网(bittrex),都是这样的交易所。有的交易所就比较矜持,不是什么币都上,只选一些有一定规模的币上,而谋求将这些币的交易量做大。例如bitfinex,bithumb等。
(5)交易工具的多少
是否提供杠杆、做空等交易工具,这也是一个很重要的考虑。提供做空功能特别重要,这让你在跌的时候也能赚钱,比如最近。提供做空功能的方式也有很多。有的交易所是通过期货来提供做空交易。而有的交易所是通过类似股票融资融券的方式,让你进行做空交易。另外就是杠杆交易。这一块其实需求不是那么大。因为数字货币本身的波动就已经非常大了。在加上杠杆,就是在玩火自焚。OKEx交易所提供20倍,BitMEX交易所提供100倍杠杆,见过爆仓的无数。
(6)交易所充币、提币的速度
往交易所充币、提币的速度,这也是选择一个交易所重要的标准。往一个交易所充币,迟迟不到账,心里很着急的,特别是当你正在搬砖套利的时候。但是这也都难说,时间都是不固定的 。这个交易所今天提币快了,不代表明天提币也快。有没有什么网站能够监控下这些交易所每天充币、提币的速度呢?
(7)量化接口及其稳定性
做量化交易需要交易所提供数据和交易。一般来说正规一点的交易所都是提供量化接口的。如果一个交易所不提供,那么基本上就不用考虑了。交易所提供接口也是看人的。官方文档里的接口是一套,人人都可以接入。但是对于一些交易量大的用户,会提供另外一套接口,这些接口可能速度更快,数据更多,稳定性更强,例如Bitfinex交易所。
YOYO:未来交易所的市场环境将会发生何种改变?交易所若想从竞争中脱颖而出都需具备什么条件?
王楠:未来么就是马太效应会越来越明显,安全记录好,用户认知高,使用体验好的3-5家现货/合约领域的交易所会dominate市场,小的交易所生存空间会继续受挤压但他们死不完(看一下外汇的小盘子就知道了),然后就是去中心化的崛起。收上币费的商业模式可能到头了。而区域性法币所会作为交易所领域的一极存在。甚至引起更大的并购潮。