什麼需要發行代幣呢?我認為這並不是一個必要的步驟。我們希望專注於如何提升平台的功能和用戶體驗,而不是將精力分散到代幣的發行和管理上。
在這個快速變化的市場中,我們更關注的是如何保持業務的穩定性和可持續性。我們的目標是建立一個對用戶有價值的生態系統,讓他們在平台上獲得更好的交易體驗,而不是單純依賴代幣的價值來吸引用戶。
此外,我們也希望避免因代幣波動帶來的風險。市場上的代幣價格往往會受到多種因素的影響,這可能會影響到用戶的信任度和平台的穩定性。因此,我們選擇不發行代幣,專注於提供穩定可靠的服務。這是我們的選擇,也是我們的信念。
總結來說,我們的決策是基於對市場的深思熟慮,以及對用戶需求的理解。我們相信,通過不斷提升產品質量和用戶體驗,我們能夠在競爭激烈的市場中脫穎而出。什麼還要發行代幣呢?通常情況下,代幣是為了吸引投資者,或者為了構建一個完整的生態系統,從而吸引使用者加入,但 Bybit 從未嘗試單獨構建自己的生態系統。我們一直把自己視為更大生態系統的一部分,而不是孤立存在的個體。我們的業務模式從一開始就與影響者和 KOL 緊密合作,成為他們生態中的一部分。當我們推出現貨交易時,我們選擇與 Solana、Ton 等已有的生態系統合作,而不是試圖建立一個與之競爭的體系。我們發現,這種模式避免了潛在的利益衝突。相比之下,很多交易所因為擁有自己的生態系統,不僅需要與其他交易所競爭,還要與 Solana 或其他區塊鏈生態競爭,最終導致合作機會減少。我認為,只有在你是市場絕對領先者的時候,構建自己的生態系統才是可行的。如果你擁有足夠的市場份額和資源,確實可以通過生態系統擴展套件業務。但 Bybit 從來不是市場的第一名,我們更像是一匹「黑馬」。因此,我們從未具備這樣的條件去嘗試發行代幣或構建生態系統。最終,我們選擇專注於自身的核心業務,而沒有推出代幣。
Kevin:
那麼,如果這個週末的情況不同,假設 Bybit 有自己的代幣,會有什麼不同嗎?
Ben:
我認為不會有太大的區別。坦率地說,我覺得代幣的存在與這次事件並沒有直接關係,如果我們有代幣,你覺得會產生什麼樣的影響?
Kevin:
或許市場會開始做空代幣,導致代幣價格迅速下跌,這可能會進一步惡化市場情緒,引發更多恐慌情緒。這樣一來,你們可能就會面臨另一重危機了。
危機後如何重建使用者信任?
Kevin:
我聽說你們在一夜之間經歷了約 40 億美元的提款。面對這樣的壓力,你們是如何反彈並重建使用者信任的?
Ben:
我們已經開始逐步恢復信任了。我認為關鍵在於如何應對危機。透明度和及時溝通是重建信任的核心,而始終保持專業態度則是贏得社群尊重的基礎。在這次事件中,儘管面臨巨大挑戰,Bybit 依然展現出了高度的專業性,這一點得到了廣泛的認可。很多使用者甚至在危機期間對我們表示稱讚,認為我們的表現值得信賴。這種信任不僅來自使用者,也得到了全球監管機構的認可。我們正在通過多個監管機構申請許可證。在過去幾天裡,很多人聯絡了我們說:「嘿,我認為 Bybit 做得非常好。」他們甚至對未來更加信任,認為如果我們再次遇到任何事件或問題,我們會以這樣的方式來處理。所以從這個角度來看,這實際上是向世界展示我們如何開展工作以及我們理念的最佳方式。
加密錢包安全:從教訓中學習的經驗
Kevin:
在風險管理方面,Bybit 未來會有哪些改進措施?我也在思考一個問題:將 15 億美元存放在一個錢包中是否合理?我們應該如何分配資金?什麼樣的金額算是過多了,什麼又是不夠?
Ben:
這是一個非常重要的問題,也是在過去幾天中引發了許多討論,我們的安全團隊正在積極研究新的解決方案,以確保類似的風險不再發生。未來我們計劃對錢包系統進行優化,比如通過分割錢包來降低風險。這樣即使某個錢包遭到攻擊,也不會對整體資金造成重大影響。我們也在討論採用哪些更先進的技術手段。我認為以太坊在這方面的發展值得參考,比如智能合約錢包 (smart contract wallet)。這些錢包可以通過多重簽名和許可權管理來提高安全性,甚至可以避免線上簽名的風險。我們目前的一些錢包依賴線上簽名,這種方式雖然方便,但因為需要通過瀏覽器操作,因此不能算是真正的冷錢包。相比之下,我們的大部分比特幣都儲存在冷錢包中,而這些冷錢包是完全離線的,所有簽名和交易操作都在離線環境中完成。除非有人進行物理入侵,否則幾乎不可能攻破這種儲存方式。所以我認為我們將設計一些東西,重點關注那些在物理上不可滲透的區域。是的,我認為這些是我們的一些關鍵關注點。
加密貨幣自我託管的未來趨勢
Kevin:
這讓我想到加密貨幣領域的一個核心問題——自我託管。在這個行業,我們常說「不是你的 Key(私鑰),不是你的幣」,通常這是對個人使用者的提醒,建議他們不要把資產存放在交易所,而是選擇自我託管。但當發生類似的安全事件時,這種說法似乎並沒有太大區別。你們的安全措施遠比普通使用者的自我託管手段要複雜得多,但依然可能遭到駭客攻擊。
這是否意味著,無論是個人還是機構,都可能面臨安全風險?在你看來,自我託管的未來發展方向是什麼?
Ben:
這是一個很好的問題。我們確實面臨一個關鍵挑戰,那就是我們是一個非常明顯的攻擊目標。對於駭客來說,像 Bybit 這樣的大型交易所是他們的首選目標之一。我們從這次事件中學到的一個重要教訓是,我們的規模甚至超過了我們所依賴的一些安全服務提供商。因此,從邏輯上講,攻擊我們對駭客來說是「有意義的」。雖然我並不是說這次事件就是這樣發生的,但這一點值得我們警惕。無論我們採取多麼嚴密的安全措施,作為一個大目標,我們始終面臨更高的風險。因此,我認為依賴第三方解決方案並不是一個最優選擇。對於普通使用者來說,「不是你的 Key,不是你的幣」這一理念是正確的,但我認為還需要強調一下「分散風險」。當你的資產達到一定規模時,你就會成為潛在的攻擊目標,因此分散資產儲存位置非常重要。對於 Bybit 這樣的機構而言,我們實際上需要將「自我託管」的理念應用到自身,使用完全自主開發的技術解決方案,而不是依賴第三方。責任感是我們從這次事件中學到的最大教訓。雖然我們投入了大量資源來保障安全,但最終還是出現了問題。這表明我們在某些決策上存在不足,比如我們選擇了一種依賴瀏覽器簽名的解決方案,而這種方式顯然不夠安全。未來,我們需要更加專注於開發和使用自主的安全技術,而不是依賴於行業標準。雖然行業標準提供了一定的保障,但它們並非萬無一失。依賴第三方的最大問題在於,你將部分責任轉移給了他們,這可能導致自己在關鍵問題上變得不夠謹慎。尤其是對於像我們這樣的交易所來說,營運時間越長,成為攻擊目標的概率就越高。在這次事件後,我們與一些行業同行進行了交流。我發現,許多交易所都在使用內部開發的安全解決方案。他們的觀點是,為什麼要依賴第三方?雖然第三方並不一定有問題,但一旦發生攻擊,你就失去了控制權。這是一個生死攸關的問題。你不應該將自身的安全命運交由他人掌控。就 Bybit 而言,我們的比特幣和其他加密資產主要儲存在內部開發的安全系統中,但以太坊的處理稍顯複雜。以太坊的智能合約開發難度較高,需要專門的專家團隊,而這正是我們過去沒有投入足夠資源的地方。現在回頭看,這是我最大的遺憾之一。我們本應該早在政策制定階段就考慮到這些問題。雖然我們目前已經擁有相關專家,但系統仍未得到全面升級,這是一個需要解決的重要問題。
ETF 與交易所的安全風險對比
Kevin:
這個週末的事件是否讓人們對 ETF(交易所交易基金)的需求更加關注?ETF 需要託管資產,而這些資產也需要儲存在某個地方。你認為 ETF 的託管方式是否面臨與 Bybit 相似的安全風險?還是說兩者完全不同?
Ben:
從本質上來說,ETF 和交易所確實面臨類似的風險,但也取決於 ETF 如何保障資產的安全。需要注意的是,Bybit 作為一個交易所,操作模式與 ETF 有很大不同。我們的程式碼錢包解決方案需要頻繁地進行調整和維護,幾乎每週都需要重新部署。而 ETF 的資產管理相對靜態,大部分時間是存款狀態,偶爾會有少量取款。交易所每天處理大量的存款和取款,包括小額和大額交易,而 ETF 可以選擇更加安全但效率較低的解決方案,因為他們的操作頻率較低。而我們作為交易所,必須在效率和安全性之間找到平衡。如果提款處理時間過長,客戶會感到不滿,因此我們的系統需要在幾分鐘內完成提款操作。
Bybit 資產在駭客攻擊前後的變化分析
Kevin:
在駭客攻擊事件發生前後,Bybit 的資產和負債情況發生了哪些變化?
Ben:
在攻擊發生前,我們的客戶資產總額大約為 200 億美元。在攻擊後的最初幾天,我們的資產總額降到了 140 億美元,後來一度進一步下降到 100 億或 120 億美元。不過,隨著市場情緒逐漸恢復,資產總額又反彈回到了 140 億美元左右。
Kevin:
你如何證明客戶的資產是安全的?
Ben:
我們的資產儲備是經過獨立審計的,可以確保 1:1 的匹配關係,我認為沒有其他交易所可以這樣聲稱。在整個事件期間,我們始終保持提款通道完全開放,客戶可以隨時提取他們的資產。即便在面臨類似「銀行擠兌」的情況下,我們也沒有拒絕過任何一筆提款請求。如果一個交易所的儲備金無法做到 1:1 匹配,通常會選擇暫停或限制部分提款,以爭取時間籌集資金。但我們完全沒有遇到這樣的情況。這實際上是對我們儲備金體系的最大考驗。
未來是屬於鏈上的
Kevin:
你一直強調「未來是鏈上的」。這次週末的事件是否進一步凸顯了去中心化 Bybit 的重要性?
Ben:
我的觀點沒有改變。儘管未來確實是朝著鏈上的方向發展,但這並不意味著中心化交易所會被淘汰。我認為這意味著基礎設施會變得更好,將會有更多的流動性,就像過去幾年加密貨幣的增長一樣。從五年前到今天,整個加密行業已經取得了巨大的進步,但這並不意味著股市正在衰退。
所以我的邏輯是,中心化交易所對於整個生態系統仍然是至關重要的。大多數人需要中心化的產品來進入加密世界,使用者可能因為市場熱點而短暫參與,但沒有一個中間的平臺供他們深入瞭解或長期使用。這就是中心化交易所的真正意義所在,它提供了多個生態系統或產品,讓使用者可以停留、探索,最終成為本土的加密使用者。
然後在某個時候,他們可能會去探索其他地方。即使是大多數未被吸引的人,他們也通常仍然擁有中心化交易所的帳戶,並可能在兩個地方都有一些餘額,在很多情況下,大部分餘額都在中心化交易所。
加密行業的形象問題
Kevin:
如今加密行業幾乎每週都會出現新的重大事件,這讓公眾如何能夠認真看待這個行業?我們需要做些什麼,才能讓這個行業被更認真地對待?
Ben:
我同意這個行業確實面臨一些形象問題,但我們也應該關注行業所取得的積極進展。我並不是想自誇,但我們在應對最近的駭客事件時,展現了與以往不同的處理方式。我看到有人將 Bybit 與 FTX 相提並論,但這完全不同。我們在短短 3 天內就完成了事件的處理,這種高效的應對方式在業內並不多見。儘管這次駭客事件令人遺憾,但它也讓我更加堅定了一個目標——與駭客鬥爭到底。此外,我們計劃本週上線一個專門的網站,幫助受害者更好地應對損失。
我認為,這不僅是 Bybit 的問題,也是整個加密行業需要面對的共同挑戰。不過,行業的其他方面已經取得了顯著進步。尤其是在鏈上活動領域,許多去中心化交易所(DEX)提供的解決方案,如今已經能夠解決過去無法解決的問題。
加密行業依然年輕,如果你回顧網際網路的早期採用階段,也有很多問題和挑戰,基礎設施並不完善,但這需要時間。因此,加密行業仍然非常年輕。我相信,大多數人現在已經不再簡單地將加密貨幣視為騙局,多數國家正在合法化和監管加密行業。所以,我認為這條路雖然充滿挑戰,但只會越走越穩,越走越高。
關鍵教訓和最大遺憾
Kevin:
你之前提到過,最大的遺憾之一是沒有建立內部電子錢包基礎設施。除此之外,還有其他讓你感到遺憾的事情嗎?
Ben:
如果從這個週末的事件來看,我們確實發現了一些需要改進的地方。例如,我們的提款系統可以設計得更高效、更流暢。即使在危機情況下,我們也應該儘量確保客戶能夠快速完成提款。唯一的遺憾是我們讓一些客戶等待了,他們會認為你在故意阻止他們,但這並不是我們的本意,我真的希望我們能讓每個人隨時提款。我希望未來能優化系統,讓每位客戶隨時都能順利提款。這樣不僅能增強客戶對我們的信任,也能讓他們感到更安心,因為他們可以清楚地看到自己的資產安全地存放在個人錢包中。因此,我們需要對系統進行升級,以便在類似事件發生時表現得更好。
此外,在錢包安全團隊的管理上,我也學到了一些重要的教訓。舉個例子,可能很多人沒有注意到,我的財務負責人(CFO)是第一個簽字的人,其次是我們的共同創辦人之一。現在回想起來,我最大的遺憾之一是,為什麼要讓這樣一個關鍵角色擔任簽字人?當駭客攻擊發生後,他不僅要承受來自團隊的壓力,還要面對我,甚至連他的家庭也可能受到影響。雖然我們都清楚這是外部駭客的責任,比如目前確認是朝鮮駭客所為,但他仍然會感到內疚,認為自己有責任。我非常擔心,他可能最終會選擇離開公司,而他是與我並肩奮鬥了 4、5 年的重要夥伴。我完全信任他,但我忽視了這樣一個事實:讓關鍵角色參與簽字,會讓他們在危機中承受過大的心理負擔。
Kevin:
那你認為誰更適合擔任這個角色?
Ben:
應該是一個我信任的人,但不一定是公司核心的關鍵人員。說到底,簽字人只需要是一個值得信賴的人,而不需要承擔太多的公司責任。如果我的 CFO 不參與簽字流程,他就不會陷入這樣的局面。因此,在未來,我一定會調整這一流程,避免讓關鍵人員承擔這樣的風險。我無法想像他在這個週末承受了多大的心理壓力,這件事讓我感到非常後悔,也讓我意識到流程設計需要更周全。
對未來創業者的寄語
Kevin:
對於未來想要進入加密行業的創業者,你有什麼建議嗎?畢竟類似的危機事件可能難以避免。
Ben:
我認為我們行業的美在於透明度以及創業者與客戶之間的直接溝通。我們可以將自己與傳統金融行業,比如銀行進行對比。即便是銀行,在面對類似危機時,也很少能夠以如此公開透明的方式來處理問題。而在加密行業,透明度和創業者與客戶之間的直接溝通是至關重要的。
如果有人經歷了這樣的事件,我認為透明度是關鍵,確保保持溝通。讓客戶知道你在這裡,市場會因為你的透明度而回報你的。
為什麼加密駭客屢屢得手?
Kevin:
你已經連續忙了三天了,半小時後回到家或者辦公室,你會做什麼?
Ben:
我還有一些重要的事情需要處理,比如我們是否已經查明瞭事情的真相。我們正在組建一個專門的工作組來追蹤資金流向,並希望通過這次事件幫助整個行業,而不僅僅是解決我們自身的問題。在這次危機中,行業內的許多合作伙伴主動伸出援手,甚至沒有要求任何回報。因此,我覺得我們有責任做出一些貢獻。無論是 Lazarus 還是其他駭客問題,這些都是行業內持續存在的挑戰。
目前的一個大問題是,當你成為駭客攻擊的受害者時,往往會感到非常無助。駭客清楚你會追查他們,但他們也知道,如果你只是一個個人受害者或一家小公司,你的資源是有限的,無法長期追蹤資金流向。更棘手的是,駭客通常會將資金分散成小額,比如每筆 10 萬美元,然後通過混幣器 (Mixer)、跨鏈橋 (Bridge) 或交易所進行轉移。等到你聯絡交易所的法務部門時,資金早已被轉移,你嘗試幾次後可能會放棄。這種情況在行業中非常普遍。
目前我們缺乏一個專門的資訊平臺來整合追蹤資金的相關資料。雖然有 Chainalysis 這樣的工具,但當你追蹤到某個終點時(比如混幣器、跨鏈橋或交易所),資金可能已經變得無法追蹤或凍結。
駭客通常會避免使用容易被凍結的資產,比如 USDC。他們會利用交易所、混幣器和跨鏈橋來拖延你的時間和精力。最終,你可能會發現只有兩三個人在不斷切換交易所,而即便這些交易所的回覆速度很快,比如半天內答覆你,資金也已經被轉移了。駭客就是在利用這種拖延戰術來獲勝。
要解決這個問題,我們需要構建一個行業級的資訊平臺。這個平臺可以展示資金最終變得不可追蹤的地方,比如混幣器,同時記錄這些平臺的響應速度排名。比如,有 200 筆交易總計約 5,000 萬美元流向了某個混幣器,而該混幣器無法被追蹤。通過這樣的資料,我們可以尋求法律或監管機構的幫助。如果這些資金與 Lazarus 或其他被制裁的組織有關,我們就可以採取進一步行動。
Lazarus Bounty 計劃:幫助行業應對駭客攻擊
Ben:
我們正在推出一個新的網站,名為 HackBounty.com。這是一個專注於追蹤被盜資金的聚合平臺,正如我之前提到的那樣。
這個平臺的有趣之處在於,任何人都可以成為「賞金獵人」。你可以提交任何你希望追蹤的資金線索。一旦你提交了目標資金並追蹤到其最終去向,我們會將你註冊為這條線索的賞金獵人。隨後,我們的團隊會聯絡資金流向的終點,並啟動倒計時。終點機構需要採取行動:要麼凍結資金,要麼提供資金的下一步流向。如果他們未能及時迴應,這種拖延行為會被記錄在案,並公開顯示在平臺上。這樣,整個行業的人都能看到哪些機構對受害者的請求毫無迴應。
作為交易所我非常清楚這種機制的運作。
我不希望我的使用者看到我的交易所出現在「不合作名單」上,因為這會讓人覺得我們在幫助受到制裁的組織,比如北韓。因此,我一定會組建專門的團隊,快速響應這些請求。如果是混幣器 (Mixer) 這樣的工具,它們最終可能會因為不合作而逐漸被列入行業黑名單。
歸根結底,我認為我們需要利用區塊鏈的核心優勢——透明度,來解決區塊鏈行業中的問題。
HackBounty.com 將聚合所有相關資訊,任何人都可以在平臺上釋出賞金任務,成為賞金獵人。通過這個平臺,我們希望幫助所有受害者追蹤被盜資金,同時提升整個行業的責任感和透明度。
