Популярность криптовалютных бирж среди пользователей пропорциональна популярности биткоина.

Суточный оборот на крупнейших биржах достигает $1.5 миллиарда.

Соответственно, даже если пользователь не хранит на бирже все свои сбережения, на аккаунтах постоянно находится та часть средств, которая активно участвует в торгах.

И чем больше денег на бирже, тем привлекательнее она для хакеров.
Все началось с одной из первых (основана в 2010 году) и некогда крупнейшей биткоин-биржи Mt.Gox, которая в феврале 2014 года была ограблена на 850,000 биткоинов (что на тот момент составляло около $425 миллионов, а к маю 2018 уже превышает $6.3 миллиарда).

Японская биржа объявила себя банкротом, а через год прокуратура Японии обвинила экс-CEO Mt.Gox Марка Карпелеса в хищении средств (согласно предположениям, часть средств исчезла с 2011 по 2013 годы, до объявления о хакерской атаке).

Сегодня, спустя 4 года, история до сих пор не закончена.
К ранним игрокам индустрии относится основанная в 2012 году гонконгская биржа Bitfinex, первая крупная атака на которую была осуществлена в августе 2016 и унесла 120,000 биткоинов ($72 миллиона на тот момент, ~$900 миллионов на май 2018).

С тех пор биржа еще несколько раз заявляла о хакерских атаках и даже привлекла внимание американского регулятора, но по состоянию на май 2018 года Bitfinex успешно продолжает деятельность, занимая 4 место по суточному объему торгов.
Южнокорейская биржа Bithumb, на тот момент входившая в ТОП-5 биткоин-бирж и являвшаяся абсолютным лидером на южнокорейском рынке (где на нее приходилось 75.7% оборота биткоина), в июле прошлого года была ограблена на «сотни миллионов вон».

К маю оправившаяся биржа занимала 6 место по суточному объему торгов.

Меньше повезло другой местной бирже — Youbit — которая отвечала за куда более скромные объемы торгов, но меньше чем за 8 месяцев дважды стала жертвой хакеров: после второго ограбления, в декабре 2017, биржа объявила о банкротстве.

Тогда же, в декабре, южнокорейское издание MBC наняло компанию по обеспечению информационной безопасности для тестирования систем защиты нескольких бирж, включая Bithumb.

Проверку не прошла ни одна биржа: «хакеры» получили доступ к пользовательским данным и счетам.

А с октября по декабрь прошлого года безопасность местных бирж проверяли несколько южнокорейских регуляторов, и 8 из 10 испытуемых, включая такие крупные площадки, как Upbit, Korbit и Coinone, не прошли проверку (однако Bithumb в этот раз выстояла).
К маю 2018 крупнейшим ограблением криптобиржи стала январская атака на японскую Coincheck, которая унесла 523 миллиона монет NEM на сумму $533 миллиона по курсу на момент кражи.

К марту Coincheck завершила выплаты всем 260,000 пострадавшим пользователям на общую сумму $440 миллионов — по курсу $0.81 за токен.

А в начале апреля местное издание Mainichi сообщило, что Coincheck приняла решение сменить руководство с целью вернуть доверие инвесторов: биржа была приобретена японской брокерской компанией Monex за 3.6 миллиарда йен ($33.5 миллиона).
Вывод: средства, которые вы держите на бирже, на самом деле вам не принадлежат.

И если она их потеряет, хэппи-энда в виде выплат компенсаций может и не случиться (и не только из-за гипотетической недобросовестности биржи, но и из-за ее реальных финансовых возможностей после атаки).
К другим, порой тоже весьма критичным, недостаткам бирж, относится возможность временно потерять доступ к средствам из-за технических работ или перебоев в работе сервиса.

Например, в декабре не все биржи смогли выдержать отметку в $19,000 за биткоин: GDAX и Coinbase выходили в оффлайн в самый разгар событий, так что те пользователи, чьи средства оказались заперты на бирже, могли упустить нужный момент и не успеть реализовать свои гениальные трейдинговые стратегии.
При этом нельзя утверждать, что все кошельки абсолютно (или одинаково) безопасны.

24 апреля команда популярного Ethereum-кошелька MyEtherWallet подтвердила взлом DNS-серверов, что унесло примерно $150,000 в эфире.

Ранее, в январе, хакеры украли из криптокошелька BlackWallet $400,000 в криптовалюте Stellar (также с помощью атаки на DNS-сервера).

Наконец, таинственная история Ethereum-кошелька Parity, который в июле прошлого года пострадал на 150,000 эфиров в результате хакерской атаки ($30 миллионов на тот момент, ~$90 миллионов к маю 2018 года), а в ноябре разработчик Parity якобы случайно активировал уязвимость в коде, заморозив тем самым 513,774 эфира, которые до сих пор не высвобождены.
Оптимальным вариантом хранения является использование двух разных кошельков — горячего и холодного.

Так делают большинство крупных компаний, работающих с криптовалютами.

На горячем кошельке рекомендуется хранить минимальное необходимое количество для повседневного использования, а основной объем — направить в холодное хранилище.