长期以来，“交易所”一直是币圈最火的赛道之一。和团购时代一样，在上一次牛市中，币圈涌现了上万家交易所。今天，每天都有新交易所诞生，每天都有旧交易所倒下。 　　

　　

　　虽然不同的交易所业务侧重点不同，但都关注一个至关重要的痛点——交易所钱包。自入职以来，苦钱包团队收到了很多交易所关于交易所钱包的询问，都一一回复。本文将整理其中的部分内容，告诉你设计exchange钱包方案时的常见问题，希望对你有所帮助。我们对问题一：交易所钱包应该使用第三方托管服务吗？'s问题的回答是： 　　

　　

　　请根据自身情况慎重考虑是否采用托管服务。最近“主持”这个词在币圈很流行，已经成为一个“有前途”的赛道。在这里，我们不想讨论托管这个赛道是否有价值，只想告诉你“为什么要慎重考虑第三方托管”——看起来你什么都不用做，只靠第三方API就能管好你的钱包。这真的是个好办法吗？ 　　

　　

　　1、第三方托管服务并不像大家想的那样「安全」's安全依赖于钱包系统的机制以及服务器和网络级别的安全策略。如今，托管领域最著名的服务商Bitgo也在几年前导致Bitfinex被盗12万比特币。在那次事件中，Bitgo的服务器本身并没有被攻破，而是黑客攻破了Bitfinex的服务器，然后调用Bitgo的API轻松转移了硬币。打算使用第三方托管服务的交易所，不妨评估一下，在你的服务器被黑的时候，调用托管方的API是否可以偷钱。使用第三方托管服务并不能增加额外的安全性，因为黑客黑了你的服务器，你的钱可能就没了；黑了第三方托管服务商的服务器，你的钱可能还是没了；第三方托管服务的API访问方法和你访问服务的API密钥被盗了，你的钱可能就没了。也就是说，从原来的单点安全风险，扩散到了多点安全风险。在Bitfinex的例子中，Bitfinex的大部分硬币被保存在一个冷钱包中(之前热钱包被盗一千多个比特币时，冷钱包中的硬币安然无恙)，但在改为Bitgo托管模式后，几乎一下子所有硬币都丢失了。这是同一个道理。还有与安全相关的道德风险。我们还是以Bitfinex和Bitgo为例。Bitfinex盈利能力很强，一定程度上可以为盗窃买单，所以道德风险相对较低(前不久的比南被盗钱案也是如此)。Bitgo是一家利润微薄的公司，钱少的企业为另一家钱多的企业保管本企业的所有用户资产，并承担相应的责任。 　　

　　

　　目前，2、谨慎考虑托管服务的另一个原因是「效率」的每个交易所都在非常努力地工作，希望能够跻身于顶级交易所之列。但是，在这么拥挤的赛道上(想想一万次交流的概念，你就明白了)，要想当头，必须要有更高的效率。交易所最重要的环节——“装钱”对团队的效率要求极高。对于新的、热门的区块链资产，如果能先把钱投进去，就能抢占先机，吸引大量用户交易，这也是为什么经常能看到一个初始交易所的部分钱经常被其他交易所抢走的原因。从这个角度来看，使用第三方托管服务的交易所，其装币效率都取决于第三方托管服务的装币效率。之前比如Bitgo很长一段时间都不支持以太坊。如果你的交易所使用Bitgo，你要做好一个交易所无法长期支持以太坊交易的准备。像过去那些流行的公链：Algorand，Cosmos，Nervos，Cocos等。如果托管服务商不支持，你的交易所不是准备好支持了吗？即使你遇到一个一直在打鸡血，不断支持新公链的托管服务商，你想新推出的公链也不一定是托管服务商目前想优先推出的公链。双方在优先级调度上还是有很大可能会有很多分歧的。所以从效率的角度来说，你的交易所要慎重考虑第三方托管服务。 　　

　　

　　3.交易所在选择托管服务时还需要考虑「成本」的第三方托管服务通常是按数量收取服务费，无论是存量还是流量。对于一个新的交易所来说，第三方托管服务的初始金额较小，因此托管成本似乎会低于构建钱包服务。但说实话，你们开始交换的初衷是不是希望自己从来没有衡量过？即使是现在的无头交易所也要设计自己的钱包方案来管理硬币，因为只有好的成本方案才会让你走得更远。总之，第三方托管服务不一定适合交易所的钱包模式，托管服务可能更适合其他场景。但对于交易所来说，无论是安全性、效率还是成本，交易所钱包都要慎重考虑是否采用第三方托管服务。即使您最终决定使用第三方托管服务，重要的是要记住，您应该只将它作为exchange热钱包的替代方案，冷钱包仍然应该单独管理。 　　

　　

　　问题二：交易所的热钱包系统应该如何设计？是我们经常被问到的问题，我们在这方面已经有了很多不同种类的方案(比如当时的Bite Wallet企业版，后来的chaincloud.com区块链云服务)。我们还为Bite开发了钱包内兑换系统和银行安全充值模块。经过这么多年的实践，我终于可以给出这个问题的答案了。 　　

简单：请使用各个公链的官方全节点钱包来搭建交易所的热钱包系统！比如说，比特币就用 bitcoin-core，以太坊就用 geth/parity，别琢磨了，这是成本最低、效率最高的解决方案，没有之一！首先，各个公链无论是主网上线还是后续升级，最早能用的一定是官方的全节点钱包，因为所有的改动都是在这里做的，全节点能跑了，公链才有意义。从这个角度上讲，您如果想第一时间最快的支持一个新公链，官方全节点其实是您热钱包的首选方案。其次，今天的公链全节点通常都能提供比较完善的 RPC 调用支持，也就是说您的交易所网站充值提现模块可以通过调用全节点 RPC 来完成地址生成、余额查询、交易监控等操作，总体来讲开发成本较低。由于各公链的官方全节点钱包是热钱包，所以切记只能将其用于满足交易所日常充提的热钱包模块，其中的大额部分要定期的汇总到冷钱包里以确保安全。另外，热钱包系统也应做好相应的主机安全加固和网络安全加固，并做好攻防保护，以确保钱包系统的安全。热钱包里的币也应该做到能不丢尽量不要丢。如果您的交易所像几大交易所一样「研发资源溢出」，那也没必要自行研发热钱包框架，因为这个活儿干下去是个无底洞，即便是像比特派这样拥有全球顶尖的钱包研发团队，在公链支持上也要投入巨大的精力，自行开发钱包系统不是说做就能做的。如果非要做，建议将精力投入到主要币种（如 BTC、ETH、USDT 等）的热钱包系统开发，其它的公链建议在交易所热钱包这块还是使用官方全节点钱包，因为对于交易所来说，能第一时间支持新链太重要了。

　　

问题三：交易所的冷钱包方案应该如何规划？交易所的热钱包可以用各个公链的全节点钱包，那么交易所应该如何安全的冷存储大额的区块链资产呢？答案其实也很简单，那就是「请使用安全、可靠的硬件冷钱包来存储大额资产」。这里要特别说明一下，即便是您的交易所真采用了第三方托管服务，您仍然应该把大额资产定期的转到自己掌握的硬件冷钱包中，因为「安全」，同时也因为「您也需要评估第三方托管服务的道德风险」。关于硬件冷钱包的选择呢，我们曾专门写过一篇文章《正确选择硬件钱包的几个要点》（https://www.jinse.com/bitcoin/306181.html）来讨论过这个事情，原则嘛，不外乎「开源」、「不断迭代」、「有屏幕」、「架构安全合理」、「有良好的安全历史和口碑」这几点。在这几个关键点上，Trezor、Ledger 和我们团队开发的 BITHD.com 比特护盾、刀锋硬件钱包都能很好的满足需求，而有很多在上一轮牛市里新出来的硬件钱包团队往往在「开源」这两个字上就已经不能满足要求了，在这一点上，小白可能还会胡乱选择，而作为交易所来说，选错了是很不应该也很不专业的。相比起 Trezor、Ledger 来说，BITHD 在产品功能和体验上有着很大的优势，在币种支持和多重签名等功能上也要领先的多，因此，交易所们可以优先选择比特护盾或刀锋作为自己的冷钱包方案。另外，对于那些 BITHD、Trezor、Ledger 都没有支持的公链，交易所又该如何进行冷存储呢？即便我们已经很努力的让 BITHD 尽可能多的支持公链了，但仍然很难做到每一条公链都支持，这种情况下，您该怎么办呢？这里我们建议您对那些当前没有硬件钱包支持的公链，使用专用的电脑来存储大额资产，并且平时在不用的时候关机，以确保安全。虽然这种方案不够完美，毕竟这是您当前能选择的还算是比较合理的模式。当您需要对私钥、助记词进行备份时，建议使用钢铁助记词板――冰甲，用来抵抗水灾、火灾等不确定因素，这会比单纯用纸做备份拥有更高的安全等级。

　　

问题四：交易所的冷钱包管理如何避免单个人的资产管理风险？单点故障（单个人的资产管理风险）是交易所必须要考虑的点，在这一点上，我们其实强烈建议交易所用正确的方案使用多重签名功能，具体原则如下：1、在使用多重签名功能之前，您首先应该使用的是开源冷钱包（开源硬件钱包），也就是说，大额资产存储设备最重要的是「代码开源」，其次是足够「冷」，最后才是「多签」；2、根据内部的资产管理方案，合理设计多签模型，比如：2/3、3/5 等都是很好的多签模式；3、不要低估单点故障（单人风险）；4、不要低估单个人的道德风险，在我们六年的钱包研发历史中，所遇到的「内鬼」盗币、熟人盗币并不少，远比大家想象中的要多；在硬件冷钱包的多重签名功能方面，BITHD 当前是具备绝对的领先优势的，我们不仅支持 BTC、ETH、EOS 等币种的多重签名，还支持 USDT（包括 ERC20、Omni 两种格式）的多重签名功能，最近还新增支持了 ERC20 全 Token 的多重签名功能，而对于大部分交易所来说，除了比特、以太、USDT 这几大币种以外，ERC20 全 Token 基本上已经能涵盖 90% 的热门交易品种了，也就是说，如果您的交易所使用了 BITHD 多重签名来管理大额资产，基本上大部分币种和 Token 都能纳入到相关的管理框架了，这么说您就该明白这里面的意义到底有多大了吧？

　　

总结对于一个交易所来说，首先您应该谨慎选择是否要使用第三方托管服务，我们建议您使用各个公链的全节点来搭建交易所的热钱包系统，因为采用这种方案能让您在交易所的竞争中占据公链支持的先机（比别人更快的上币），并且成本更低，更不依赖于第三方的安全性和稳定性。另外，您还应采用像 BITHD、Trezor、Ledger 这样的开源的、安全可靠的硬件冷钱包来作为交易所的冷钱包管理方案，并且，还应合理使用多重签名冷钱包来多人共管大额资产，避免单点故障和单人风险（包括道德风险）。