Bybit被盗14亿美元引发交易所安全问题探讨

币圈的最近一个重磅消息是Bybit被黑客偷了14亿美元，有传闻说是朝鲜黑客所为，甚至是国家组织专门的黑客进行窃取。Bybit的CEO连续发推，一方面说有办法补足这些钱，用户无需恐慌；另一方面也说了黑客的一些手法：转账的时候有个截图确认地址，黑客把背后的地址改了，但图中显示的是正确的地址，然后确认后钱被转走了。我工作过很多交易所，各种各样的事故层出不穷。这里简单谈谈。

一、交易所员工的安全守则。

不同交易所会不大一样，但入职基本都有安全培训。比如有时候电脑要配置Yubikey，插入电脑中才能使用。另外要求不能随便接入公共wifi，离开座位要关闭屏幕等等；手机不能有自动填充验证码功能等等。这些都是基本操作。

很多年以前，某所远程工作，大家都连公司的网络，有人下载了爱奇艺，用公司网络看视频，然后立马被裁，没有任何缓和余地，然后就是全员自查有没有下载爱奇艺。这个软件好像会在后台自动传输。比如有人电脑有这个剧，你要下载这个剧，它不是从自己的服务器下载，而是从别人的电脑下载。

二、某交易舍入误差导致换汇损失。

很多年以前，我待的一家交易所，里面有些币的价格在小数点后面很多位，10位以上，但系统默认的精度没有这么长，导致了一些舍入误差，这也是码农的失误。这种情况下，有人发现买卖币可以无风险套利。于是有人通过这个赚了很多钱。

然后公司发现有异常亏损，派人去查，派去的人发现了这个秘密，结果自己利用它又赚了几十万美金。公司发现还是有亏钱，又派人查，最后才发现。

三、安全部门与做市业务。

交易所本质上有金融科技的特征，面对的客户群体非常庞大，某安几亿用户，很多交易所也有几千万用户，因此从互联网服务的角度来看它的日活、月活都很大，各种安全事件也需要避免。但对于交易所内部的做市业务，跟其它业务则相对独立。其实可以认为内部做市团队跟外部做市团队都是要给性质的，都是去交易的，不是提供网络服务或应用的，不需要跟外界用户打交道。

但部门交易所的做市团队地位并不是很高，地位不及安全部门，安全部门会用各种理由增加自己的权限，比如要求审查做市的代码，审查通过才能上线，修改要他们批准等等。配置服务器也要纳入公司安全监管范围内。总之条条框框特别多，导致做市业务无法发展。但他们对外是不敢这么要求的。