Defi之交易所(一):CEX & DEX之安全性
收藏 分享
**有点长,收藏。有些概念在用不同的语言重复解释,方便不同个体理解**
交易所是什么:
交易所是一个固定的“地点”,用来交易某种信息、物品等。交易所是提供信息、物品价格价值的一个渠道,会有多个交易所存在,那么如何抹平交易所之间的价格差,避免市场用差价赚钱,扰乱市场呢? 交 易所通过借助信息平台实现产权信息共享和异地交易,统一协调产权交易市场及各种条款来平衡这一点。
形象点说,链家就是一个房屋买卖交易所。
区块链里的交易所同理,无论中心化还是去中心化的,都是为了给币的买卖提供场所,这个场所既然是为大家服务的,那么:
-
-
大家的资金在这个系统里是安全的,不然本来是来赚钱,最后还被别人割了,谁还用?
那么中心化交易所(CEX)和去中心化交易所(DEX)有什么区别,方便和安全性上有什么不同呢?
两个本质的区别在于有无基于区块链技术而带来的安全性区别。 去中心化交易所 (DEX) 通过链上的智能合约执行交易,实现了数据去中心化,以及操作去信任,且治理带有开放和社区驱动的属性。中心化交易所 (CEX) 是在链下进行交易且其治理模式与传统公司相同。
中心化交易所(CEX)的优势显而易见, 方便、高效、流动性 (使用的人越多流动性越强)。但是成也萧何败也萧何,中心化是其优势来源也是其不足处的起因。
中心化交易所最黑的一笔历史是2014年2月24日,曾经的世界第一大交易所Mt.Gox被曝遭遇黑客攻击,平台10万枚比特币和用户75 万枚比特币被盗(当时总价值约为4.75亿美元),3 天后Mt.Gox申请破产。该事件被称为“门头沟事件”。最终结局是,2019年宣布按照公司破产时每个账户的比特币余额,赔偿当时每个比特币660美元以及0.18个比特币。 结果不算坏,至少有交代,弥补了部分损失,但比特币的价格已经翻20倍。
2014年到现在,加密货币中心化的 风险在依 然存在 ,只是风险变“高级”了。
仅2019年,11个主要加密货币交易所被黑客入侵,盗取共计约2.83亿美元加密货币。
当然美其名曰是黑客,但黑客盗取了多少,交易所自己监守自盗了多少,以及更高级的数据拉砸和拔网线收割了多少这些都无从考证, 真正的历史只有当事人知道 。以及 人们相信的历史只是人们愿意去相信那一种 。
这些“意外”说明了: 比特币是安全的,但比特币交易平台不一定是安全的。 加密货币放在中心化交易所,资产就存在安全隐患,特别是对现有合约用户。除了被黑客盗取,也可能交易所自己作恶,或创始人小不心出了意外(比如年初火币的私钥管理人被传话),最终都是用户躺平。
下图1是交易所的交易流程。中心化和去中心化交易所 最核心的区别点是: 开始的时候 用户有没有属于自己的钱包私钥。 即在中心化操作下,交易所里资产的拥有权不实际属于你,而是别人,因为你的“钱包”的私钥在交易所手里,详细见下面解释。
此处补充说明一点:钱包
如果你是一个行业资深者,证明你真正拥有多少资产需要看你钱包里的资产,每个人的钱包通过 私钥 认证 ( 一串字符),是 唯一属于你的 ,如果 忘了/丢了就意味着币丢了,永远找不回 ,所以记得保存好。托管在交易所的没有提现的钱不能完全算你的钱是因为(1)可能明天就亏了,当然也可能赚更多,(2)交易所可能给你搞没了。就好像传统投资人都说股票里的钱不算钱,要实际变现出来了放在自己的银行卡里了才算。
然后回到上面的 图2
注册中心化交易所,用户把资产转到交易所,储存在中心化交易所里的一个虚拟钱包里,用户没有私钥/助记词( 私钥不在你手中表示你的资产也不在你自己手中) ,虽然可以随时操作,但显示在屏幕上的资产数字只是交易所给你的一个凭证:表明你可以的币种和数量,或,兑换为多少价值的法定货币。但 这些资产实际已归属于交易所 。
也就是说你转账进交易所的时候,就把你的资产完全的托管给交易所全权负责,屏幕上的数字是交易所给你的凭证,证明你有多少资产在他那。
这意味着, 交易所的私钥控制人可以拿着你的币和资金另寻它用, 由此便产生了中心化交易所已经发生过,且未来可能继续发生的恶劣现象:
-
数据拉砸、拔网线、交易所跑路。这些情况下用户的资金(币)没有任何保障,特别是玩合约的朋友很容易躺平起不来。
-
中心化交易所把用户资产和数据储存在中心化的数据库中,一旦这个数据库出问题:可能交易所维护不善、可能黑客攻击,你的资产就不安全了。数据库出问题就好比水桶被戳了个洞,一个小洞就可以把水漏完。
历史上有过多次交易所监守自盗、挪用用户资产的恶性事件,也有不少外部黑客对CEX恶意攻击的事件。在行业还没有得到明确的监管情况下,能约束恶性事件发生的只有 交易所的道德底线和技术实力 。
类似的银行理财产品、基金都是用户将自己的钱托管在别人 手里,让别人帮忙操作赚取收益,是中心化的,只是他们身后的背书力量比较强。 去年的中国银行原油宝穿仓事件即中心托管的一个问题,被迫亏损,而且是因为别人不留心的操作失误被迫亏损,以前大家放心是因为法律要求这些理财产品保本,现在取消了。
为什么前文说现在风险变高级了? 其实矿机生产商、交易所、甚至矿厂主,基本算这个行业的食物链顶端,稳赚不陪,交易所跑路了也没多大意思,自断财路,一般不会,但是或许有可能他们其他什么地方缺钱了,可以搞个数据拉砸/拔网线来爆合约赚用户的资产(币)。要知道我们的所有操作,交易所后台都能看到。
安全问题一直是悬在交易所上方的达 摩克利斯之剑,因平台安全问题被反向割韭菜的交易所数不数胜。
有问题不代表没有市场价值, 中心化交易所的好处依然 大大优于 其存在的问题,但事物是发展的, 需求的侧重点也是多样的,有问题就会有创新,就会有更进一步解决方案。
通过上文知道,中心化交易所(CEX)最大的不安全来自于(1)数据集中:整个体系安全性不被保障,断电、外来攻击都会影响,(2)用户没有实际拥有自己的资产:后台处理程序不可见,可以产生很多猫腻。 怎么解决呢?
将 区块链作为整个网络的运作底层 就自然而然的解决这些问题。 去中心化交易基于区块链,被赋予了:
-
链上记录 :每笔交易链上发生,任何人都可通过区块链浏览器查询到每一笔交易,公开透明;以及数据去中心化存储无需担心暗箱操作与数据造假和数据拉砸。这是区块链技术本有的特点,无需再多做解释。
-
智能合约 :用写定的程序去托管,去人为操作,防止盗用用户资产另寻它用
-
资产自持 :钱包作为接入口,用户的钱永远都在用户手里。
即一个数据在链上存储(透明、安全)、智能合约完成执行流程(撮合交易、结算、提现)、钱包为接入口(资金安全)的交易平台: 该平台仅负责撮合交易, 不接触你的资产, 不参与用户资金的任何操作,不将个人数据存储在中心化服务器上,而是通过智能合约进行点对点交易,即去信任。
在这个平台上,除非你把私钥给别人,否则谁也动不了你的币。 且只需要 一个钱包就能使用不同的去中心化交易所Dapp,相对简便。
但在使用不同的中心化交易所时,需要 重复 完成 账号 注册与KYC 认证,就像在币安、火币、抹茶等CEX上开户时都要求上传身份证照片,有的甚至要求拿着身份证自拍,这些信息被存储在CEX的中心化数据库里,如果CEX有更大的利益诉求或者其他什么原因,是完全可以出卖这些数据信息的。所以中心化交易所 最大的不安全来自于数据集中,用户没有实际拥有自己的资产。
把以上所有环节置于链上,由智能合约全部执行(包括钱包间的直接交易), 没有中间人插手。
有点像你通过绑定了银行卡的 支付宝/微信给商家付款,直接 刷走的 你银行卡里的钱, 但是你通过支付宝/微信支付.有所不同的是,区块链世界卖方收到的钱也直接到银行卡里(钱包里),而不是留在支付宝或微信里(交易所里 ) 。
这样交易过程就无需任何信任的第三方,做到了去中心化,去中心化的意义除了数据安全还有去信任,所谓 去信任不是不要信任,而是用写好的、明确可见的、不变的程序替代具有很大变数的人为控制 。 所以在交易所方面,去中心化交易所的核心是“资产去托管”。也 就是说,在交易的过程中,没有任何人或者说一个中心化的机构能够接触、动用你的资产。
但,区块链给DEX带来了安全、透明的同时,也给了DEX一些弱点。 比如交易速度交易慢, 无法处理高并发交易 , 底层公链的 TPS(系统吞吐量)使得用户体验没有中心化交易所那么流畅, 这是 目前区块链本身性能带来的局限 。 以太坊 12 秒打包 1 个区块,表示交易完成至少需要 12 秒,当网络拥堵时需要等待的时间将更长。 这对高频交易员来或者完全去中心化的交易所来说是很大的限制。
不过随着扩容技术的不断发展,去中心化交易所与中心化交易所的差距将不断被缩小。聪明的开发者们开始把上述部分环节(下单及撮合环节,因为这部分需要的tx实在太多)放在链下。
只要去中心化交易所仍然保有「非托管」以及「与智能合约交互」的特性,就有存在的价值。
去中心化交易所所有的交易流程是由智能合约来完成的,交易 效率相对较低 (区块链技术的TPS一直是软肋),但币的归属完全是掌握在用户自己手里,所以 安全性相对高一点 。
中心化交易所相对去中心化交易所的优势在于交易深度和用户数量 ,这两点是去中心化交易所不能比拟的。