活动回顾:交易所冷热钱包的分配比例 | TokenInsight_XCT:EXC

OceanExCTO-周家雨:各位TokenInsight的小伙伴,我是OceanExCTO周家雨,非常高兴能在今天和各位简单聊聊。

我现在在密歇根州立大学担任计算机科学助理教授,主要从事机器学习方面的研究,同时担任OceanEx的CTO主持高性能交易平台的开发。我于2014年亚利桑那州立大学计算机科学专业拿到机器学习方向的博士学位,后来在三星美国研究院,领导了三星研究公司(美国)的大规模推荐系统。后来2015年加入密歇根州立大学,一直做数据科学,机器学习和人工智能的研究。2018年跟几个大学同学联合成立了BitoceanGlobal/OceanEx并出任CTO。

/第一环节/

链闻提问

链闻-Ruby:我是链闻的Ruby,我的第一个问题是:是否能简单介绍下,您是如何帮助OceanEx实现AI赋能的吗?

OceanExCTO-周家雨:好的,自从数字资产的兴起以来,不乏黑客从顶尖交易所盗窃大量数字资产,因此OceanEx一直把资产安全看作是我们的首要任务从未改变。从2018年我们的第一行代码开始,我们的工程团队便把每行代码的安全作为首要考虑。

链闻-Ruby:的确,最近安全事件频频发生,用户资产安全是第一位。

OceanExCTO-周家雨:让我来举一个AI的例子就是我们系统的冷热钱包:OceanEx使用了AI来对系统冷热钱包的分配进行管理,利用系统的大量数据计算出一个平衡系统性能和安全的最佳阈值。感兴趣的读者可以参考我们最近在人工智能顶级学术会议AAAI上发表的关于钱包阈值的论文:

声音 | 人民日报:加强对区块链的引导和规范,推动区块链安全有序发展:10月30日,人民日报刊文《区块链,你了解多少》。文章表示,虽然已经开始探索区块链在物联网、智能制造等领域的应用落地,但总体看,由于涉及场景较为复杂,落地模式还不够清晰,区块链在实体经济领域的应用还处于起步阶段,还须完善技术,找准应用场景,解决工程实施等现实难题。值得注意的是,在区块链的一些应用中,所有交易数据都是公开透明的。因此,信息隐私如何保障,是区块链发展须解决的课题。专家建议,要加强对区块链技术的引导和规范,加强对区块链安全风险的研究和分析,探索建立适应区块链技术机制的安全保障体系,推动区块链安全有序发展。[2019/10/30]

https://aaai.org/Papers/AAAI/2020GB/AAAI-ZhangX.8415.pdf

同时我们的AI系统也应用在了系统风控方面,对每个用户的行为进行建模。当系统发现行为的异常,我们会及时锁定用户账号,并且告知风控组,联系用户进行资产保护。

再举一个例子:交易所系统后面有大量的互相配合的服务,例如注册,登陆认证,KYC审核,钱包,交易结算,会员管理等等。为了能做到低延迟并且不浪费系统资源,这些服务需要根据平台使用情况进行扩容和缩容。由于扩容缩容需要一段时间来完成,往往等用户使用量上来再进行扩容会导致短时间的资源不足而服务中断。我们将AI应用到了后台系统性能中,根据平台使用情况预测接下来的资源需求量,从而提前部署需要的资源来保持系统能一直处于低延迟的状态。

链闻-Ruby:感谢周博士,听起来AI其实是和比较核心的功能进行了结合。我的第二个问题是:请问AI赋能在用户体验和交易安全两方面会有怎样的效果?

动态 | 人民日报:高素质金融企业家要掌握区块链等现代高科技知识和技术:《人民日报》今日发布题为“新时代呼唤高素质金融企业家”的评论文章。文章中提到,高素质金融企业家要掌握相关现代科技知识和技术。金融与高科技结合是现代金融业发展的大趋势。金融企业家必须顺应金融业这一发展趋势,努力掌握大数据、云计算、区块链等现代高科技知识和技术,并且能够运用这些技术对现有金融业务进行创新,提高金融运行效率和服务实体经济的能力。[2019/10/18]

OceanExCTO-周家雨:其实AI在OceanEx上有着多种应用场景,其中就包括了用户体验和交易安全。首先在安全方面,交易所最重要的一环是对用户的数字资产进行保护。用户每天在我们支持的几十个币种上进行充币和提币,大量的数字资产流动需要交易所强有力的安全保障。

其次,我们也会把AI应用在提升用户体验方面。再举个例子,一个对用户体验最有影响的应该是使用系统的延迟:简单来说,就是一个页面请求是不是能快速返回用户需要的数据,或者行情到来是不是能第一时间用自己想要的价格成交。

除了上述应用,OceanEx还有很多AI的应用,有些已经部署在我们的系统中,有些还在研发之中。

/第二环节/

金色财经提问

金色财经-加勒比海带:我是海带,首先想请您简单为大家介绍下,交易所冷热钱包的“最佳阈值”,具体如何找到?

OceanExCTO-周家雨:我尽量把它写得直接一点。首先我们需要知道阈值的定义和必要性。Ocean交易所主要使用三种钱包:冷钱包,热钱包,温钱包。温钱包接受用户的存币。冷钱包出账需要风控团队多人同时操作,因此非常安全但是低效,一般只适合N+1操作。热钱包出账完全由交易所系统自动操作,因此风险比冷钱包高但是非常高效适合大量用户提币需求。

声音 | 人民日报:加密资产和区块链等新技术的应用大大降低了金融交易速度和成本:今日,人民日报在《对实现高质量发展的几点思考》的文章中指出,中国金融市场还有很大空间丰富金融投资产品,规范金融市场行为,疏通投资者和需要集资的优良企业之间的融资渠道,让金融市场充分发挥其金融媒介作用。近年来,加密资产和区块链在内的金融新技术的广泛应用大大加快了金融交易速度,降低了交易成本,给未来发展带来广阔前景,但如何对这一新领域进行有效、合理的监管,还需摸着石头过河。[2018/12/10]

当一个存币进来到用户的温钱包之后,系统会根据一定的策略,马上将这个存币转到热钱包或者冷钱包,所谓”同进同出”。普林斯顿大学计算机系的研究团队在2018年在“JournalofCybersecurity”期刊上发表了一篇文章来讨论如何确定冷热钱包的阈值:《Determininganoptimalthresholdontheonlinereservesofabitcoinexchange》

https://academic.oup.com/cybersecurity/article/4/1/tyy003/5066370

这篇文章用了一种悲观估计的方法,假设热钱包的资产会有一定几率被盗,然后转化成一个严格的风控优化数学模型。

对于悲观估计,我可以进一步解释一下。任何联网的计算机系统都是有风险的。用windows的同学应该记得windows的系统每一段时间都会有一堆安全补丁。曾经完美的安全方案,随着计算能力的上升,随着基础设施的漏洞暴露,随着更新换代引入的未知安全漏洞,随着黑客攻击手段的增强,防御都会随着时间变得脆弱。

声音 | 人民日报:相关部门将继续推进专项整治 初步建立适应互联网金融特点的监管制度体系:据人民日报今日报道,近年来,打着各种名目和噱头的“互联网金融投资项目”,被频频用来编造“钱好故事”。区块链、虚拟货币等新事物,刚一升温就被不法分子盯上。政府监管早已出手。2016年以来,国办要求开展互联网金融风险专项整治行动,各地机关已立案1390起,不合规业务规模压降4265亿元。下一阶段,相关部门将再用1到2年时间继续推进专项整治,并初步建立适应互联网金融特点的监管制度体系。[2018/7/19]

这说明安防再强的公司,也不可能把安全隐患降到0。任何人拍着胸脯说自己设计的互联网系统是永远没有安全隐患的,那他一定是在忽悠。因此防御的加强必须时刻进行,而且任何时候我们都不能假设系统没有漏洞而不去进行思考。因此悲观模型非常适合我们用来做热钱包的风控。

我们最开始使用普林斯顿的这个模型,发现性能并不可靠,因为这个模型仅仅是从单币种充提币的角度去看问题的,更像一个银行ATM机器的现金管理方案,因此用在交易所上会导致运营效率低下,或者风控太松。

根据我们的数据分析发现,交易所是一个有机的整体,市场活跃情况,多个币种市场之间的联动性,宏观的用户活动情况,以及更加细粒度的用户行为习惯,都跟充提币有着或多或小的关系。因此我们利用AI技术建立了一个更加适合交易所的风控数学模型,对于任何一种币种,我们都会考虑到交易所其他所有的相关信息构建损失函数,利用历史数据来进行机器学习得到适合于交易所的模型,由此平衡系统中的风险和运营效率。我们的研究团队经过评估发现这个模型与之前的简单模型比,极大的增加系统的运营效率同时把盗窃风险降到最低。

人民日报三问区块链:目前还不太成熟,要警惕概念炒作:区块链技术确实能创造很大的价值,但一些风险也不容忽视。技术目前还不太成熟,要警惕概念炒作,特别要区分是技术创新还是集资创新,不能为了区块链而区块链。今后更好地推广和使用区块链技术,还需继续完善基础设施、加强相关法律政策制定等。[2018/2/26]

金色财经-加勒比海带:分析的详细。OceanEx以“人工智能”和“交易安全”著称,请问在安全方面,OceanEx具体有哪些壁垒?

OceanExCTO-周家雨:OceanEx的技术壁垒主要来自两方面,安全和性能。在安全方面,我们有多个维度的考量。

第一个维度是风控机制。设计得再完美的系统,也是人在操作。是人操作就需要考虑到人性的弱点。大家也许还记得加拿大那个大交易所QuadrigaCX的事件,当用户资金能由一个人操作决定的时候,往往会出现意想不到的问题。因此OceanEx团队在最开始便确定并一直贯彻最严格的风控机制,比如说冷钱包管理方案中使用了银行级别的风控方案,需要多人同时参与才能完成转账,交易所系统和资金托管系统之间的多重验证,服务器管理权限的分配等。虽说这些措施都是非常简单明了,却是所有安全体系的基石。由于非常繁琐往往被许多人所忽略,最终可能导致巨大的损失。

第二个维度是基础设施。基础设施是技术上的第一防线,从提供商的选择,底层服务器的网络设置,服务器集群的信任机制,上层服务之间的权限和通信,入口防火墙的访问规则,每个层面都需要进行安全的考量。很多时候这些选择都是安全/效率/成本之间的权衡,需要进行不断的讨论和论证来决定最适合公司的方案。

第三个维度是工程质量。当基础设施和风控规则都有保证之后,便是落实到代码的工程质量。溢出攻击,注入攻击等都是通过合法的请求来完成,必须通过工程师的设计和思考来规避风险。工程质量,一定程度取决于工程师的经验和习惯,另外也需要严谨的工程制度来保证。OceanEx工程团队的每个工程师,都把对安全的思考贯彻到了每一行代码,构思设计,编写,到测试,都会考虑到各种攻击的场景。每行代码在上线之前都需要经过严格的审核和安全测试。同时我们也与包括慢雾在内的多家安全审计机构对系统进行了多轮全方位安全测试。

第四个维度是数据科学/人工智能。AI在任何公司都是属于最高层的应用,建立在所有其他部件的基础上,在OceanEx也是如此。在之前的三个纬度都被保证的基础下,我们利用对数据的分析,其中模式的挖掘,以及相关性和因果关系的建模,来进一步加强我们的运营效率以及最大化系统的安全。例如对钱包风控的管理,用户账户安全的监控等,这块在之前的几点都有所讨论在此不再赘述。

最后我想说OceanEx的真正壁垒不仅仅是技术上的,而是我们技术团队的文化:对技术上的精益求精,用科学研究的精神来解决工程上的每个细节问题。

/第三环节/

链得得提问

链得得-Unessani:大家好,我是链得得的灵鸽,前面周博士提到了很多关于技术与安全的内容,那么OceanEx之后在技术和交易安全上,是否还会有全新变革?

OceanExCTO-周家雨:会有,安全并不是静态的,而是一个非常动态的概念。就用加密学来举例,早在19世纪便出现了有理论基础的加密和破译方法,比如说CharlesBabbage的多字元加密法分析。

经历了一战二战到今天,加密算法被数学家研究人员不断的创新,也被研究人员不断的破解。有些破解是基于数学工具的发展,有些破解则是基于计算能力的提升。如今不仅仅是数字资产,加密算法早已被广泛用于计算机和通信领域的各种地方,从网络底层链路层的加密协议,到安全套接字层SSL证书,以及储存用户密码的hash算法。每天都有新的研究来增强这些算法,同时每天也有无数研究人员在尝试破解这些算法。因此,今天安全的加密算法,明天便不那么安全了。OceanEx技术团队每天都在这个动态的安全领域思考新的威胁以及用最前沿的技术来最小化未知威胁可能带来的风险。

链得得-Unessani:现在越来越多的人更愿意去做一个“Holder”,而这些用户其实目前还处在冷热钱包选择迷茫期,您是否有一些建议给到他们?

好的,对于用户来说,热钱包一般是指的线上托管的钱包(交易所或者数字资产托管服务商)或者自己生成的地址,冷钱包是自己离线生成密钥不接触互联网的地址。冷热各有各的优点和缺点。热钱包不需要自己备份私钥可以非常方便的进行充提币,风控一般由提供商来做,缺点也很明显,如果提供商跑路了或者数据丢失了便直接失去了资产。另外一方面冷钱包可以有绝对的安全,但是使用起来非常不方便:需要自己管理私钥,找到备份的地方,并且自己管理签名。另外如果不小心丢了,资产也就都丢了。

我有一个非常要好的朋友毕业之后刚参加工作不久,当时比特币刚出来不久,2010年左右,无聊挖了10来个比特币。那时候也就值一美金左右,也没有想太多就没玩了。后来BTC涨到了一万美金的时候,他存了10个比特币私钥却再也找不到了,非常郁闷。当然,有人说可以把私钥存在云上的文件系统例如Dropbox/iCloud。这样虽然解决了丢密钥的风险,但是却容易有比托管热钱包更高的风险,例如云上账号被盗。OceanEx的钱包系统,有我们团队设计的严格访问控制,2FA,AI行为保护等,还有企业级冷热钱包风控管理。

对冷热钱包的选择,跟用户长期的习惯有关系。如果做持有者不进行频繁交易,有条件能在家放保险柜或者租银行保险箱的,可以把私钥存在保险箱里相对安全。如果没有条件的用户,建议考虑有严格安全措施的交易所或者托管商(不光是牌子大)进行存储。

另外,币价波动是币圈的一个独特性质,当市场行情发生剧烈波动的时候,热钱包能更加方便的来拿到波动带来的利润。同时,有很多交易所和托管机构专门为持币用户设计了保证收益的理财产品比如OceanExCryptoFarm,用户能在持币的同时享受到相当丰厚的回报。

TokenInsight-维维:感谢给广大屯币党提出了安全的建议。本期问答已经全部结束了,周博士这边有没有什么想要总结的呢?

OceanExCTO-周家雨:我刚刚所有的问题和回答基本上都跟安全相关,我想说做交易所也好券商也好托管机构也好,一定要把安全防范变成第一位。每一次被盗,损失的不仅仅是交易所的资产,偷走的还有所有人对数字资产的信心,不是说丢币了我们赔得起那么简单的。安全重于泰山,大家共勉!

/第四环节/

观众提问

观众提问:周教授,我可以理解为一般交易所处于红框状态。OceanEX应用了咱们这个阈值以后,处于蓝框状态么?

OceanExCTO-周家雨:理解是对的,具体来说红色的是最传统的时序模型大家一般都喜欢用,因为简单。蓝色是我们的方法。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:0ms0-3:585ms