对话Armors Labs：交易所频繁被黑，损失谁来买单？

对话时间：7月24日 22点
对话嘉宾：
JF Zhang ：Armors Labs联合创始人，大数据和人工智能专家、形式化验证研究专家，伯克利大学博士后。
1、 面对交易所频繁被黑，交易所的安全系数是不是已经不能信赖?
JF：近年一直有不同的评级方在为数字货币进行种类繁复的分级，其实这根本无法给所有交易所在宏观角度上的安全系数定义。而安全风险评价更应基于交易所的实力，建议大家选择规模大、安全技术投入较多、历史被攻击情况较少甚至没有被攻击过的交易所。
 

 
2、 安全需要不断升级，但过程中的学费应由谁买单?
JF：一些没有节操的小交易所在发生安全问题后多数灰飞烟灭另起炉灶，损失嫁接到投资者身上。但从产权和法律条款的角度，这部分资产是投资者托管在交易所的资产，所有权属于投资者，在交易所托管期间造成的非正常损失，交易所必然是有责任的。
3、 有传言说操纵市场是交易所，美国也对此展开调查，从技术角度看监守自盗的空间有多大?
JF：单从技术来讲，数字货币中心化交易所监守自盗是可能的，但就相当于传统的股票交易所或者银行一样。当我们把钱存进股票交易所及银行时，是否担心过它们会监守自盗呢?
4、 现阶段到底应该由谁来监管交易所，保护投资者利益?
JF：所以说，针对中心化交易所，法律机制更适合保护投资者权益。法律会让开设交易所、银行的门槛很高，而且通过银行储蓄保证金等各种法律手段来保障金融体系运行的健康完整。当然，在区块链领域，这还需要一个完善的过程。
而在去中心化交易所，当一个交易所完全运行在去中心化的网络上的时候，交易所的计算资源和存在本身都是被所有的“矿工”共同维护的，那么保护投资者利益的则是“智能合约”和“共识机制”了。
5、 去中心化的交易所会是未来的一个发展趋势吗?
JF：虽然中心化交易所存在很多问题，但是交易用户的某些需求比如流动性好、交易量和交易深度好、交易费用低、交易速度快、支持多种衍生品、支持多种功能扩展等，这些在去中心化交易所上并不能得到很好的满足。此外，在用户”接入层“也曾经发生过钓鱼和欺诈等问题，导致去中心化交易所用户造成损失， 所以，中心化交易所在很长时间内仍有很大优势，是用户交易的好选择。
 

 
6、 未来几年交易所格局和安全关系大么?
JF：交易所的多少和好坏对行业安全有很大的影响。我觉得未来两年交易所会到达一个平台期，新交易所日渐减少，现有交易所开始进入理性和健康发展，但是这不是短时间可以达成的。
7、 有人认为交易所的存在违背了区块链去中介化的精神甚至是毒瘤，您怎么看?
JF：中心化交易所确实是违背区块链”去中心化共识“的原始定义的，但世界不只有计算机，也不只是技术，去中心化并不能解决所有问题，就像前几天CCTV评论”去中心化无法解决线下假茅台“的问题一样。我们仍然会有并且需要很多现实世界、中心化的社会组织和管理形式。
尤其在当前区块链发展仍然相对初期，底层链的交易吞吐量每秒只能达到几十笔，中心化交易所反而为整个行业的发展做出了很大的贡献和帮助。所以，中心化交易所的存在我是用相对积极的眼光看待的。
8、 项目方和交易所应该从哪些角度着手，提升安全性呢?
JF：从智能合约安全、DAPP安全、客户端安全、钱包安全、交易所安全等方方面面，要说的太多了。
单从中心化交易所的角度来讲：首先是交易所自身防入侵，要加大安全技术和资金的投入力度，这块儿和传统互联网安全领域相关性很大，解决方案可借鉴;其次，针对用户防止被钓鱼，要想更多的手段和措施，比如现在很多交易所在用的多因素验证就是很好的方法之一。
9、 如何通过技术手段建立一种信任机制，让交易更透明，让投资者安心?
JF：在中心化交易所上，对交易所的信任是其一，引入第三方机构，对交易所进行实时交易监督和见证是其二，这种相关的设计在去中心化交易所上是存在的。
Armors本身也在和一些行业顶级的投资机构在对交易所安全、交易所监督等话题进行深入的调研和讨论，这里就不方便透露更多了。
10、智能合约是其中最重要的一环，Armors将如何打造更安全的生态?
JF：纵观近两年的区块链项目主要分为：底层链项目和基于智能合约的DAPP项目，而这两类项目都需要智能合约才能够行程完整的区块链生态体系。
但是在过去一年，先是价值60亿的BEC智能合约被攻击作废，然后是EDU等大型项目智能合约被爆掉，给整个全行业都敲响了警钟。包括最近Armors发现了ERC20合约标准本身存在一种安全隐患，一直都没有引起行业的足够重视，导致上万份智能合约存在这种攻击漏洞，稍后我们会在专题内容和大家介绍这种漏洞。
Armors在智能合约领域已研究多时，目前我们提供入侵系统IPS、入侵检测系统IDS、故障迁移和升级系统AMS三大体系的解决方案。从智能合约撰写阶段的开发引擎、研发工具、自动化测试，到智能合约发布运行后的监控、升级等都有比较深入的探索和实现。同时建立白帽子开发者社区，与合作伙伴一起建立一支安全生态基金，用来动员社区力量集思广益，为整个区块链行业的安全发展做出贡献。
 

 
Armors发布在开源社区的代码也获得了开发者较多好评，并且近期我们也在深入探索AI在智能合约安全领域的应用，有正式产品发布的时候会第一时间和大家分享。
目前已经有包括ArcBlock、EON、SOC、BeeChat、Bgogo、币虎等众多合作伙伴使用Armors的服务或者加入了我们的安全生态，也欢迎更多的合作伙伴和社区工程师能够加入我们的安全生态，参与社区共建。
　　谢谢!