拒绝付款套利攻击—比特币场外交易的一种攻击手法及防范
第0章 引言
比特币场外什么坏人都有,而且坏人还很勤奋,想的办法很多。
本文介绍一种攻击场外交易员的办法。
第1章 场外交易平台的交易流程
讲行骗方法之前,还是用最简单的话说下场外交易流程。
一个标准的场外交易平台上的交易流程是这样的:
- 卖家在平台挂卖单;
- 买家下单,然后平台会锁定卖家的币;
- 买家用银行转账和支付宝等向卖家付款,然后通知平台,已经付款;
- 卖家确认收到款后,选择放行锁定的币,平台将币转账到买家账户上。
- 交易完成。
这个过程的第3个环节,买家一般会有90分钟的付款时间。如果90分钟内买家不付钱,交易就自动取消。如果买家点击了已付款,那交易才不会被取消。
好,这种拒绝付款攻击,就是利用这个90分钟的时间来完成攻击。
第2章 拒绝付款套利攻击
因为比特币价格波动性大,在90分钟内,价格有可能涨,也有可能跌,当然还能横盘。
买家本身就是一个攻击者。
现在买家在场外交易平台上下单,购买一笔比特币。比如按价格12500/BTC,购买10BTC。
这时间买家有90分钟的付款时间。
同时买家在一个比特币交易所盯盘,等价格上涨,一旦90分钟内价格上涨了,买家就在交易所卖出10BTC。
然后买家通过支付宝或银行转账等向卖家付款,将场外交易的订单确认,购买。
如果在这90分钟内,价格没有上涨,那买家就取消掉在场外交易的这笔订单。
这种方式,买家可以无风险套利。
因为交易所买币要手续费,比特币转账也要手续费,考虑到各种成本,只要在90分钟比特币价格上涨幅度超过了各种手续费等交易摩擦的总和,那买家就可以完成套利。否则买家就放弃,进行下一轮攻击。
这种攻击手法,对卖家的伤害是他的币被锁定时,就无法交易了。这样资金的利用效率会大大降低。这类似于淘宝店遇到竞争对手将店里所有的库存全部拍下来,但拒绝付款,等24小时后自动取消交易。这样这个店24小时内就无法运营了。
对卖家的另外一个风险是对冲失败。一般场外交易的卖家会采用对冲的办法来保证自己的货源充足。比如在场外交易平台卖一个币,他会通过其他渠道购买一个币。这样保证币的总量不会减少。一般这种对冲,卖家会在锁定币的时间里快速完成对冲,不会等买家付完款后才去购买币。否则价格波动的风险太大。
但买家对卖家发起拒绝付款攻击后,如果90分钟内价格横盘或下跌,买家取消交易。那卖家的对冲就失败了。卖家白白多买了几个币。
第3章 如何防范拒绝付款攻击
这种攻击完全是在规则允许范围内做的,要做好防范,那只能由平台来判断并对攻击者实施惩罚。
第一类办法就是平台对有嫌疑的买家做限制和惩罚。
平台可限制买家一天内可取消交易的次数。比如一个买家一天最多取消三笔交易。这种办法就和我们买火车票,在12306平台,一天只能取消三次订票一样。
平台可以对取消更多的交易进行收费之类。比如一个买家一天有5次取消交易的机会,多了就要付费。
平台可以对频繁取消交易的买家进行付款时间降低的惩罚,让你没有时间完成攻击。
第二类就是卖家主动举报这样的买家。或者让卖家可以主动建立黑名单,拒绝这样的买家。
第4章 结束语
长期来看,做好人其实更划算的。
