原作者 | Btcread

出品 | CertiK（ID：certikchina）

过去三年，加密货币支付明显成为越来越流行的支付方式，尤其用于发展中国家的点对点支付。但同样的，无论是大企业还是小商贩，都面临加密货币支付所带来的两个关键问题：波动性和安全性。

BTC和ETH作为数字加密货币，其优势十分明显。它不受国界所限制，并且手续费通常都非常低，有时它的波动性甚至比传统货币更低。

虽然受到疫情影响，目前各个国家的经济目前都有所动荡，比特币也目前呈现下滑趋势。但是在全球经济整体相对稳定的时候，就已经有某些国家的传统流通货币动荡十分剧烈了。2018年8月，土耳其里拉在一天之内暴跌20％。而此时，加密货币可以发挥它的作用。

土耳其人持有的加密货币数位于各欧洲国家之首。尽管难以实现将加密货币中央法定货币的愿望，但土耳其人充分认识到了加密货币的潜力，他们将加密货币看作是作为对冲本国货币的避险工具。

近年来，在许多国家，如菲律宾、智利、还有委内瑞拉，加密货币进行的点对点支付数据可以称之为爆炸式增长。在2019年，LocalBitcoins (一种基于比特币的P2P交易平台)的周交易量平均达到了4000万至6000万美元。

在英美等国家，P2P的交易数据相对较低，但是加密货币持有者的数量仍然非常高，并且这个数字每天均在持续增长。

以大家都熟知的运动鞋品牌耐克以及叫车服务优步(Uber)为例，我们是否能在购买以及使用的时候直接用比特币这样的方式向零售商进行支付呢？比如新款AJ上市了，可以比特币支付购买，虽然这听起来很酷。

其实，让零售商接受加密货币并非易事。零售商们不仅仅需要成立一个或多个的全新部门，在这个过程中，管理者也同样必须考虑到监管及法律方面的责任树立。除了这些方面，零售商还必须考虑如何管理钱包，如何尽快的在流动性强的交易平台上售出法定货币。

在大众的眼中，加密货币具有高风险性，因此它常被视为风险管理者的游戏。以优步(Uber)为例，假如乘客选择使用加密货币付款，到司机手里时实际价值可能已减少5%，如果你是司机，你是否真的想要承担这个风险？在这种情况下，解决方案就是稳定币——反映真实货币（如美元）的有资产担保的加密货币。

如果持有稳定币，尽管它能够无缝、即时地转换为现实中的法定货币，但依旧有一个亟需解决的问题。

在资金流通过程中还存在相当大的安全隐患。如果耐克公司现在全权负责其内部资金。那么，由谁来负责管理钱包和私钥？

大多数加密货币交易所和支付平台都是代表用户存储、处理和管理用户资金的集中化机构。由于易于访问和优化的用户体验，许多加密货币用户选择将其持有的信息存储在这些服务提供者处。

然而，集中交易所保留了对用户私钥的控制，这意味着交易所对用户钱包中的资金拥有完全的控制权。因此，当用户使用他们的资产进行交易或交易时，这笔交易将依赖于加密货币交易所。

区块链和安全方面一个更重要的点就是，所有的安全追溯到源头只有私钥，但是中心化可以有各种手段管理这个私钥，效率和安全互相矛盾。

当用户在平台上进行资金流动时，此项交易必须由平台本身处理。平台将对任何给定交易的处理拥有最终决定权。虽然大多数声誉良好的公司都有严格的安全和隐私流程来保护用户资金，但还是发生了许多黑客入侵和交易所盗窃的案件。

在过去几年里，针对加密货币交易所发生了一系列引人注目的黑客攻击和盗窃事件。最大的盗窃行为之一是2018年2月发生在日本的Coincheck交易所，黑客获取了该交易所的私人密钥后，从该交易所的一个热门钱包中窃取了价值超过5亿美元的NEM代币。

Coincheck黑客攻击仍被认为是有史以来规模最大的加密货币盗窃案之一，甚至可能超过Mt Gox黑客攻击案。虽然该交易所首先采取完全阻止所有交易和取款的行动，使其用户无法访问自己在该交易所的资金，但此次事件造成的损失依旧不可估量。

这些盗窃案让人们清楚的认识到了世上没有“绝对安全“这个概念。交易的第三方平台本身的代码由程序员编辑，而人工操作不可避免会产生错漏。

交易所的安全性是用户们最关注的首要条件。当前交易所的主要安全隐患如下：

• 账户保护体系弱：仅靠密码／密钥的用户识别机制，无法应对黑产通过钓鱼网站、终端逆向破解、网站挂马、木马、社工欺诈、撞库等手段进行的盗号，导致黑客可转移平台资产、对用户账户提币等；

• 平台存在业务漏洞：平台的系统、外部业务接口甚至后台管理系统等难免会存在业务安全漏洞，导致黑客可利用来实施非法操作，比如卖出用户资产、窃取用户关键数据；

• 缺乏智能风控的防护：由于未配置关键环节的风控识别技术，导致平台的非法交易、非法操作等行为不能够被及时发现。

根据数据分析，加密货币交易所的安全可靠性相较于传统金融平台的确仍有差距。究其原因，一方面，加密货币交易所面临的安全问题的复杂度更高；相较于传统金融市场，加密货币交易市场尚未发展的足够成熟，安全防御的经验相对匮乏；另一方面，回到安全话题的本质，“计算机技术领域永远没有绝对的安全”。

那么如何避免这些安全隐患？

安全性是一切区块链技术的基础——无法保证安全性的去中心化将会崩塌，规模化也将无法长久。

对于一个加密货币交易所来说，其安全团队的人数需占团队总人数的 13%以上。不仅如此，交易所必须保证花费 17% 以上的预算用于保证其安全运行，建立完善的安全保障机制。

另一方面，依托于外部安全团队，就外部密码审核、多重签名钱包、两步验证等方面展开合作。同样的，针对智能合约的渗透测试需要得到安全团队足够的重视。

比如使用通过“深度规范”的形式化验证技术在区块链应用和智能合约上进行的代码安全审计服务、渗透测试（包括黑、白、灰盒测试）以及平台定制化验证安全服务，就是对企业来说，最简单、最高效、最安全的解决方式。

CertiK，可通过形式化验证的方法为智能合约和区块链应用提供代码安全服务，通过将智能合约转化为数学模型，并用逻辑上的推理演算来验证模型的方式证明代码实现符合系统设计。由耶鲁大学和哥伦比亚大学的科研团队携数十年研究成果成立。

而加密货币世界终将需要一个值得完全信赖的、经过数学证明的安全保障。只有这样，加密货币才能做到其所承诺过的“更及时，更安全可靠”的体系。

在此，CertiK承诺：我们可以为数字货币交易所开发者带来一个能够被完全信赖的开发环境；为终端使用者提供区块链世界中最好的安全基础架构；为社区提供更加安全的去中心化的程序。

加密货币交易平台的安全性至关重要。它为数字货币的交易提供了平台，带动了数字产业的发展。只有保证加密货币交易平台的安全，同样保证背后有一支强大的安全和技术团队支撑，才能让加密货币以及加密货币支付得到持续的健康发展，未来如耐克和优步(Uber)这样的零售商也可以无顾忌的允许加密货币来进行支付。

加密货币支付时代或将到来。

我们绝不仅仅是寻找漏洞，而是要消除哪怕只有0.00000001%被攻击的可能性。