總部位於香港的Bitfinex,是全球以美元計價的比特幣交易所中成交量最大的知名機構,在區塊鏈與金融科技業界有舉足輕重的地位。Bitfinex於上週發生資訊安全漏洞導致將近12萬枚比特幣的駭客搶案之後,迄今尚未完全恢復運作。由於我所創辦的源鉑資本投資區塊鏈新創,在事件發生後一直接到各界諮詢,想了解此次事件對區塊鏈與金融科技行業後續發展的影響,我整理了一些源鉑與相關資訊安全業者的看法如下,僅供參考。
相比於位於東京的Mt. Gox比特幣交易所在2014年發生的85萬枚比特幣、將近4億7千萬美元的比特幣盜竊案,Bitfinex此次規模相對較小,但對市場的影響十分深遠,因為Bitfinex在業界以網絡安全知名,如果連這麼注重安全的比特幣交易所都可能出問題,那麼整個區塊鏈金融生態系的長遠發展,就不免受到質疑。
根據既有的公開資訊,本次駭客搶案的原因很可能是Bitfinex本身網絡安全與用戶管理出現漏洞,而非比特幣或是區塊鏈底層技術本身出現安全漏洞。Bitfinex使用了多重簽名(Multi Signature)的比特幣密鑰安全防護架構。簡而言之,Bitfinex交易所的用戶的比特幣應該是存放在另一家矽谷新創BitGo所支援的離線錢包中,用戶若想要移轉比特幣,需要三把密鑰:自己一把,Bitfinex一把,BitGo一把。理論上,三把密鑰中有兩把就能動用移轉比特幣,關鍵是誰掌握這些密鑰,以及這些由演算法生成的密鑰是否會被破解。長期關注區塊鏈網路安全的台灣新創企業CoolBitX指出,Bitfinex的multisig架構,很可能是一種 Hierarchy Deterministc Wallet。此架構讓Bitfinex同時管理交易所的管理密鑰與用戶的密鑰。理論上,密鑰透過高度隨機的亂數生成,用戶密鑰也應該離線託管備份。但如果平台本身的密鑰被盜竊,或是用戶備份在交易所的密鑰因為生成方式不夠隨機而被入侵的駭客攻破,確實可能發生類似大型主機的超級使用者帳戶被盜用的風險。BitGo的離線錢包應該是最後防線,理論上應該設有單一帳戶的移轉上限,並且應該在偵測到可疑活動跡象時立即通報,甚至暫時凍結該帳戶一切活動。顯然這些安全防護措施在被駭客攻破,亦無法排除內神通外鬼的可能。BitGo於事發後宣稱自己的系統未遭駭,但為何容許大額交易自動發生,恐怕難辭其咎。
Bitfinex與其他比特幣交易所最大的區別,是其帳戶管理架構讓每一名用戶的比特幣不與其他用戶混在一起,從而令本質上屬於單一中心的交易所架構中模擬出多中心化的點對點交易網絡。這可讓用戶之間彼此直接提供資金槓桿,無須仰賴交易所提供頭寸。比方說,用戶可以將美元借給看多比特幣的用戶融資買進更多比特幣,也可以將比特幣借給看空的用戶放空。交易所不直接參與比特幣與美元部位的拋補,而僅僅提供槓桿供需的資訊給市場參考,協助撮合交易。由於Bitfinex的交易量大,市場動能充沛,買賣價差較其他流動性與資安機制較弱的交易所明顯勝出,使得場內比特幣的槓桿交易十分蓬勃。這也導致搶案發生之後Bitfinex出現支付危機。簡單地說,用戶A以自有美元在$400價位買進持有100枚比特幣,又透過槓桿機制於$500元買進200枚比特幣做多,當比特幣漲到$650元,這名用戶並沒有斷頭壓力,然而若該名用戶的比特幣全數被盜轉,則立刻可能會導致連鎖反應與系統性風險。
理論上該名用戶的負債仍然存在,頂多只能援引不可抗力因素(force majeure)而拒絕清償,並要求交易所或保險公司(如果有投保)代為清理。但因為比特幣不同於一般資產,而是原生於區塊鏈上的資料結構,只要移轉的交易得到比特幣礦工的認證,一旦被納入區塊鏈就不可逆轉。因此Bitfinex要彌補用戶的損失,必須要自己掏美元或比特幣,或是尋求外部金援。雖然被盜走的比特幣可以在區塊鏈上追蹤,礦工們理論上可以拒絕認證事發之後所有源自Bitfinex的比特幣地址的交易,但以現有技術,要把12萬枚比特幣化整為零移轉到惡名昭彰的BTC-e交易所兌現,實務上非常可能。雖然Bitfinex的執行長是歐洲刑警組織(Europol)的高級顧問,在許多比特幣資安事件上與全球執法機構有廣泛深入的合作經驗與口碑,但BTC-e位於保加利亞,一旦駭客將到手的比特幣兌現,執法機關也鞭長莫及。
正因如此,Bitfinex於日前提出要用戶公攤損失(socialized loss)之後,在全球比特幣業界造成兩極化反應。Bitifinex目前的做法,是將所有於搶案發生時的槓桿交易於$600的價位強制平倉,在清算完人欠欠人之後,讓用戶平均分攤36%的損失(用華爾街術語,這叫「強制剃頭」)並以BFX – Bitfinex自己發行的數位資產憑證,充當支付工具,彌補用戶分攤到的損失。這個應急解法,與我在《信心崩盤的明天過後》一文中提到的紐約1907年金融風暴中紐約票據所發行一億美元的債權憑證,讓現金短缺的銀行能夠用這個具備公信力的籌碼互相拆借,藉以穩定市面的舉措,異曲同工。然而Bitfinex畢竟不是一間受監管的金融機構,BFX雖然是原生於區塊鏈的數位資產,但又不像比特幣已經有快八年的歷史,Bitfinex將BFX的市價錨定在一美元,並允許在全面復市後可以在其平台上交易,還宣稱可以轉換成Bitfinex控股公司的股票,實質上等於要求用戶紓困 – 亦即金融界習稱的bail-in。用戶bail-in交易所的法律效果暫且不談,誰來bail-out這些用戶,才是難題。因為Bitfinex不是銀行,比特幣在全球不同法律框架中的地位也不同,很難說用戶放在Bitfinex的資產一定會被認定為是Bitfinex的負債。就算是,其受清償順位也需要釐清,後續法律訴訟紛爭恐難速了。值得Bitfinex苦主稍稍寬心的,是這次事件鬧得太大,受害者亦遍佈全球,有Mt. Gox前例,執法機關坐視不管的機率很低。發行BFX固然是權宜之計,可以讓Bitfinex在找到金援之前買些時間,但Bitfinex是否已具備系統性重要的地位,讓各方利益攸關者有龐大誘因助其度過難關,尚待觀察。
展望未來,區塊鏈在金融科技的發展,因為用戶習慣與既有市場結構的特性,很可能有相當長的一段時間會有很多類似Bitfinex這樣的hybrid平台的存在。單中心化的管理架構配上多中心化數位資產交易網絡,本來就需要更新更細的資訊安全規劃。從好的一面看,比特幣業者每天開張都要與駭客搏鬥,要生存就必須有足夠資安防護措施,這份警醒是推動業界不斷精進的動力之一。可以想像,未來數位資產的交易市場結構,應該要更趨近多中心化,甚至完全分佈式的架構。在這種高度分散的架構中,駭客必須要攻擊個體,與攻擊個別交易平台相比,難度大幅提升,但用戶自身的安全防護也就不能輕忽。一個結合區塊鏈身份認證與多中心化備份的離線安全儲存機制,其投資價值應該會在這次事件後看漲。台灣新創業者CoolBitX所開發的CoolWallet,讓用戶能直接離線控制比特幣密鑰的安全,還能如悠遊卡一般在能接受區塊鏈支付平台的商家消費,幾乎有了萬用數位存褶兼數位身分證的功能,相當值得關注。
*作者為旅居香港的金融觀察家與專業投資人,源鉑資本(Kyber Capital)執行長。
