【獨立觀點】案例分析「去中心化交易平台，能否杜絕駭客攻擊？」

2017年是加密貨幣產生重大改變的一年，從不斷突破總市值新高之外，最引人注目的是層出不窮的駭客攻擊事件。這一年幣圈最需要的改變就是：在安全性方面需要一場重大的革命。——“去中心化交易平台，提供了一個可能的解決方案。“

2017：備受頻繁駭客攻擊的一年

然隨著大眾對於加密貨幣關注度的提高，許多破綻也浮上檯面。這一年既見證了加密貨幣的繁榮，也有不斷翻新犯罪行為。

在整個一年中發生了十多起攻擊事件。從交易平台到錢包服務再到ICO資金，不法人士從中大獲收益。根據目前的市場價格，在2017年被盜資金的總價值在5億美元左右。

這個數字還不包含2017年之前的駭客攻擊，例如Bitfinex和Bitstamp、以及讓市場大受挫折的Mt. Gox。把這些加到累計起來的話，這些年來，被竊損失的加密貨幣總價值已經超過了125億美元。

同樣遭受這個困境的還有錢包。在7月份，駭客入侵了一個頗受歡迎的以太坊多重簽名錢包Parity，偷走153,000 枚ETH（按目前的匯率價值將近2億美元）。到了11月，Tether錢據稱被與2015年Bitstamp攻擊有關的駭客攻擊，導致一共損失了3100萬美元。

此外，在7月份，有消息傳出韓國最大的交易所Bithumb的3萬名用戶個資遭洩露，並導致客戶損失數十億韓元。按目前的市場價格計算，客戶至少損失1000萬美元。

去中心化的交易平台志在提供解決方案

所有這些遭受損失的交易平台——Bitstamp、Bitfinex、Youbit、Bithtumb——都是中心化的。這不是什麼不尋常的事情，因為大多數的主要交易平台都是中心化的。

當交易平台是中心化的時候，會有兩種形式來進行管理：資產控制和系統管理。通過資產控制，交易平台的運行將類似於銀行這樣的值得信任的機構；當您使用中心化交易平台時，您同意讓交易平台持有您的資金並私下存入您的帳戶，直到您想要提取您的貨幣。平台通常將客戶的資金存放在熱錢包儲備，而部分則會存放在冷錢包中。

另一種中心化的方式跟交易平台儲存數據的方式以及用來支持自身的基礎設施有關。為了適應網站流量，大的交易平台需要將伺服器外包到雲端伺服器，這意味著托管伺服器被分配到了單一來源中。

因此，駭客若想要攻擊中心化平台，只需要瞄準其中心化的單一入口（通常會是第三方托管伺服器）。若單一入口遭到控制，駭客就可以進入平台的錢包、用戶私鑰，進而取得中心化資金來源。

雖然交易平台都有安全措施來防止惡意攻擊，但是我們回顧近年來的駭客攻擊事件層出不窮，顯然系統安全是遠不足夠的。

這就我們需要去中心化的交易平台的原因。他們彌補了中心化交易平台因為其固有的設計而不能彌補的缺陷。因此，去中心化交易平台（Decentralized Exchanges, DEX）提供了一系列增強的安全優勢。

非單一控制的中心點帶來的優勢

不像中心化的交易平台，DEX不受單一實體的控制。雖然人們在訪問交易平台使用的域名伺服器是中心化的，但市場的權力已經被去中心化分散到多個實體，交易平台也不全由一個中心化的伺服器來支持。

就目前來看，大多數去中心化的交易平台都建立在以太坊區塊鏈上，並且由節點網絡來支持。這意味著攻擊者不得不控制一半以上的支持節點才能獲得完全控制權，而這幾乎是不可能的。

歸還用戶資金控制權

在一個去中心化的系統下，你一直控制著自己的私鑰，只要你不向惡意的第三方透露，你的資產在DEX的智能合約中是安全的。

去中心化平台去去信任機制的，因此用戶得以控制自己的資產，所有交易也都以點對點的方式進行。在DEX中，沒有一個中心樞紐來儲存資金。

DEX通常使用以太坊智能合約來管理貨幣，將資金鎖定在智能合約中，只有擁有私鑰的用戶能夠訪問資金。而在中心化的平台系統中，則是將用戶資金集中到單一的平台分散式帳本熱錢包，一但駭客取得該錢包的私鑰，大量的用戶資金就會被盜竊。

應用硬體錢包結合

DEX最大的特點就是他應用硬體錢包。大多數去中心化的交易平台例如Ether Delta和IDEX，可以與Ledger Nano S或Trezor的硬體錢包同步。

除冷錢包儲存外，硬體錢包是儲存和管理個人資金的最安全選擇，因為它們不會受危害軟體錢包的惡意軟體的影響。使用符合DEX的硬體錢包，您可以插入您的Ledger或Trezor，並直接將資金匯入交易平台的智能合約。這比手動輸入您的私鑰更安全，由於手動輸入仍有遭到釣魚攻擊和鍵盤記錄的攻擊的可能性。

DEX發展仍有很長的路要走

雖然去中心化模式比受歡迎的中心化模式更好，但是它目前的運作方式還遠不夠完美。正如EtherDelta去年12月給我們的一個教訓，透過交易平台的域名伺服器仍然可能會受到網絡釣魚的攻擊。不過，正如我在這裡所討論的那樣，交易平台固有的安全特性能使所造成的損失最小化。

即使使用假冒網站，使用Meta Mask或Ledger管理資金的帳戶也是完全安全的。只要你從未在欺詐性的域名上透露你的私鑰，那麼你在他們的智能合約中的貨幣就是安全的。以今天的兌換率計算，有超過50萬美元的資金被偷走，雖然這個數字不值得慶幸，但這比中心化交易平台中被偷竊的要少得多。

DEX的缺點還有許多，中心化的交易平台更受歡迎的原因是：它們更便於使用。去中心交易平台新進者可能會因為開始交易時他們必須應對的「智能合約迷宮」而感到沮喪。

當然，使用DEX不需要進行註冊或驗證，但是每次想要交易時，你都必須將資金從個人錢包來回地轉移到交易平台的錢包。每當你想要轉移資金或進行交易的時候，你也要受到以太坊網路的控制。當網路擁擠時，好的情況下你可能會面臨更高的交易費用，最壞的情況下，你可能會遇到一個癱瘓的、沒有反應的交易系統。

目前有一些項目正期望能改善這些問題。例如，0x正在實施與鏈上交易系統相結合的非完整鏈式訂購系統。 從理論上說，這將能給DEX一個中心化交易平台的快速訂單匹配系統，而不用犧牲其安全性。另一家DEX，Blocknet旨在通過交叉鏈接原子交換來精簡去中心化交易，並使其更加安全。

去中心化平台在未來若能給整個生態帶來更加安全的環境，將能成為加密貨幣體系的未來，在2018年新的一年不完善的體系中，社群各方都不斷創新，期許能彌補現行仍十分「中心化」體系的漏洞，迎接更佳完善的市場運作。

– 本文改寫自Josiah Wilmoth的DEX案例研究

?相關報導?

【去中心化的自由交易網路 Binance Chain】趙常鵬道出心中的去中心化哲學

【幣安｜幣圈一姐 – 何一】：台灣具有發展潛力，積極與台灣當局各黨派溝通

《BlockTempo動區動趨》LINE官方號開通囉～立即加入獲得第一手區塊鏈、加密貨幣新聞報導！