个人账号被盗、网站遭黑客攻击导致用户数据泄漏……我们或多或少都听到过这样的新闻，甚至你自己也有被盗号的经历。

假如 QQ账号、微博账号被盗取，你面临的是个人的隐私泄露；而如果交易所账号被盗取，你将直接面临财产损失，其后果要严重得多。所以，在使用交易所的过程中，我们不得不更加重视安全问题。

如何选择交易所？

根据 总结的历来比特币交易所被盗事件概览（发布于2019年5月），我们可以看到交易所被盗事件其实不在少数（当然是，一定还有交易所被盗但是没有被公开报道，所以真实的被盗事件会更多）。

即使头部交易所一直不断完善自身的安全机制，也花重金借助第三方安全服务商去审计代码，但是终究无法保证没有疏漏。毕竟在一场「交易所必须拿一百分，而黑客只需得一分」的不对称较量之下，前者的胜算实在太低。所以不管是中心化交易所还是去中心化交易所，也不管是头部交易所还是小交易所，“黑客攻击”都是一件不可避免的事情。

既然所有的交易所都不可避免被盗，那么为何还要谈论交易所的选择呢？

下面，我们来看四个具体的被盗案例：

2014 年 2 月，当时规模最大的交易所 Mt. Gox 遭到黑客攻击，黑客盗取了 85 万枚的比特币（在当时价值 4.7 亿美元）。 Mt. Gox 最终资不抵债，申请破产。这也是数字货币历史上臭名昭著的“门头沟事件”。时至今日，法院还在对其进行破产清算，并最终决定对客户的赔偿措施。也就是说，五年过去了用户仍未拿到赔偿。

2018 年 6 月，两家韩国交易所 和 遭遇热钱包攻击。其中 损失接近 4000 万美元； 被盗取 11 种数字货币，损失了近 3100 万美元。其中， 及时追回了丢失总量的三分之二，但是并不直接赔偿用户剩余损失，而是选择由代币发行方选择是否赔付。 则申明表示将用公司资金全额补偿受损用户。

2019 年 5 月，黑客攻击币安热钱包，从中提走7000比特币。但是币安也在第一时间宣布将自己承担 4000 万美元的损失，全额偿付用户。

交易所发生被盗事件之后，其处理方案也各不相同：有的交易主动赔付用户全额损失；而有的交易所则直接宣布破产，由法院介入清算；更有奇葩的交易所选择让代币发行方来赔付。

其实对交易所来说，在自身财力允许的情况下一般都会选择主动承担用户损失。如果还想继续运营下去，不赔付只会损害其信誉和口碑。

所以，对于用户来说，交易所攻击被盗事件的发生我们不可预测也不可避免，但是我们至少可以选择一个有赔付能力的交易所。何为有赔付能力？在币圈，流量大、交易量大的交易所势必赚得盆满钵满，因此它们一定是更能抵抗这种随机性风险。

简言之，请选择一个大的交易所。而对国内的用户来讲，币安、火币、OKEx 是相对稳妥的选择。

如何设置密码？

在你的脑海中，交易所是如何保存你的密码的呢？

一般来说，你的信息会使用不可逆的加密算法进行加密，然后再被存储在交易所的的服务器中，管理服务器的公司也无法查看到你的明文密码。

什么是不可逆的加密算法？

可逆加密实际上是按照某个规则，使得加密后的密文与加密前的信息存在着一对一的关系。举个简单的例子，我们假设加密规则为 1对应6，2对应z，S对应&，那么密码 12S 就会被 存储为 6z& ，这就是可逆的。

而不可逆的加密算法是指你无法通过加密后的密文直接反推出原密码，因为不存在一一对应的关系。你可能经常听说 MD5、SHA1、、、SHA-3 这些名字，实际上它们都是不可逆的哈希算法。

既然我们的密码存储完全由交易所来主导，那么为什么当我们讲到密码安全的时候，还要一再强调密码不能设置得太简单，也不要多平台使用同一密码。

为什么密码不能太简单？

对于不可逆的加密算法来说，虽然我们不能通过加密后的密文直接反推出原密码，但是任何人都可以使用加密算法。比如利用下图的 在线工具 ，我输入任何信息，它就会自动生成加密后的密文。

因此就有了彩虹表（ table）的存在。

何为彩虹表？彩虹表就是一个预先设计好的数据表，在这个数据表中穷举了一定范围内可能的密码，并对应了加密后的密文。比如当黑客攻击了交易所的用户数据库的时候，他要做的就是将密文与预先准备好的彩虹表进行查找配对。

如果你的密码设置的太简单，就很容易根据加密后的密文反查出原始密码来。比如你可以试试 这个网站。

为什么不要多平台使用同一密码？

使用一把钥匙走天下，这就是方便了自己，也方便了黑客。当黑客攻破了一个交易所的账号密码之后，他很可能拿着这个数据去其他的交易所测试登陆。这个行为通常被称为“撞库”，而实际上发生撞库的概率是非常高的。

总结来说，希望你在知其所以然以后，能够更加重视密码的设置。归根到底只有两句话：密码不要太简单；密码不要重复使用。当然，我推荐大家使用密码管理器来生成、存储以及使用随机的复杂密码。

特别注意：邮箱的安全性

虽然前面讲的都是交易所的密码安全，但是如果你的交易所账户绑定了邮箱的话，在此也特意提醒大家不要忽视邮箱的安全性。比如你的登陆可能就绑定了邮箱；一般的提现操作也需要邮箱验证；我甚至体验过币安的更改密码，只需要邮箱就可以完成。

启用二次验证，提高账户安全性什么是二次验证？

二次验证，英文是 Two- ，一般简称为 2FA 。

二次验证的核心「二次」，就是指在账号密码之外还需要进行额外的操作来完成用户权限的鉴定。比如一些网站的登陆除了验证账号密码，还需要输入手机短信验证码；比如网银转账，尤其是大额转账，部分银行就会要求使用 U 盾……这些都属于二次验证。

币安的二次验证

火币的二次验证

在币圈，交易所一般都会建议甚至强制要求开启二次验证，并且二次验证也提供多种选择，比如币安的提供了硬件设备、谷歌验证以及手机验证三种选择，比如火币提供了邮箱验证、手机验证以及谷歌验证三种选择。当然啦，二次验证你可以只开启一项也可以开启多项。

什么是谷歌验证？

关于不同的二次验证方式，在币圈硬件设备其实并不常见，这里就不做展开了；而手机短信和邮箱验证大家相对熟悉；所以下面主要来说说什么是谷歌验证。

二次验证使用的是一次性密码（One Time ，OTP），或者称作动态密码。一般这种一次性密码（ OTP ）有两种策略：计次使用和计时使用。计次使用的密码使用过一次就失效（HOTP）；计时使用的密码过一段时间就失效（TOTP）。谷歌验证属于后者，每 30 秒会生成一个动态验证码。

如何使用谷歌验证？

交易所会提供二维码或者类似「」的密钥，你只需要使用支持谷歌验证的客户端进行扫码或者手动输入密钥，即可绑定谷歌验证。客户端会使用这个密钥和当前时间戳，生成一个六位验证码，有效期默认为30秒，你登录的时候在有效期内复制输入即可。

关于支持谷歌验证的客户端，交易所通常推荐你安装 （ iOS 客户端）或者谷歌动态口令（安卓客户端）。但其最大的问题就是你更换手机的时候所有的内容将会丢失，因为它是无法进行迁移或者同步的，你只能重新扫码或者手动输入密钥来重新绑定谷歌验证。

而且交易所的谷歌验证二维码或者密钥只在初次绑定的时候显示一次，所以这也提醒我们，最开始的时候一定要做好备份。因为一旦谷歌验证丢失，联系交易平台重置的流程很缓慢。

在这里，推荐大家使用 Authy ，它可以方便地实现备份和多终端同步。当然，很多密码管理器（比如 1 、、 等）也支持谷歌验证（我们在第六章节会对密码管理器做具体介绍）

结语