2023年1月中旬,隨著中國農歷新年臨近,以比特幣、以太坊為代表的加密貨幣,在經歷幾個月的蟄伏期後,經歷一波“小漲”。連帶著因為FTX“暴雷”而一蹶不振的Web3行業,重新煥發出一絲活力。剛剛過去的2022年,對於Web3從業者來說是艱難的一年——從黑客攻擊、跨鏈橋失守,再到知名中心化交易所和投資機構相繼暴雷,整個Web3行業也被拖入熊市。
從某種角度來看,安全問題,而不是“易用性”,已經成為 Web3 行業最大的挑戰之一。
不久前,專門從事 Web3 安全的創業公司 CertiK 團隊,發佈 2022 年 Web3 安全報告。作為業內少有的專門針對 Web3 行業提供安全解決方案的公司,CertiK 收到來自紅杉等知名機構的投資,目前估值已超過 20 億美元,成為新晉的 Web3 行業的獨角獸公司。
根據這份報告,整個 2022 年,黑客從 Web3 協議中盜取價值 37.7 億美元的資產,這還不算 FTX、Terra 等中心化機構中暴雷,而讓用戶損失的上百億美元。
面對這樣的難題,Web3 創業團隊和公司,又該怎樣保障自己和用戶財產的安全?
報告概述
2022 年對於整個數字資產行業來說是艱難的一年。在市場低迷的大環境下,65% 的數字資產市值化為烏有,而數量空前的黑客攻擊、詐騙事件和機構崩盤,讓本就損失慘重的投資者們雪上加霜。
從 2022 年 3 月 Ronin Bridge 被盜 6.24 億美元事件到 11 月 FTX 幾乎一夜崩塌,2022 年的損失規模創下歷史之最。2022 年 Web3 協議的資產損失約為 37.7 億美元,遠遠超過 2021 年的 13 億美元紀錄。
本報告將深入探究導致 Celsius、BlockFi 以及 FTX 等中心化交易所潰敗的各種因素。作為這些迅速重蹈行業覆轍的中心化機構的替代品,Web3 和基於開源區塊鏈的去中心化金融應用將會發揮重要作用,但僅憑這一點就期望 Web3 走向大規模應用還不太現實。
雖然與 2022 年中心化領域的破產規模相比,去中心化世界的損失相對較小,但其總額也有數十億美元之多。整個 Web3 行業都需要對過去一年進行深刻反思,努力從這段艱難時期中尋求一線生機。
雖然不安全的協議仍在不斷造成損失,但這並不能否定 Web3 所具有的真正價值。如今,各類資產的估值普遍下降,人們的狂熱情緒也逐漸平息。由此我們可以退一步審視現狀,並在一個更加堅實的基礎上建設這個行業。
除回顧 2022 年發生的主要黑客攻擊和漏洞事件外,本報告也將展示 CertiK 公開的獨傢安全研究,以履行其守護 Web3 世界的使命。
“中心化”之殤
FTX“一夜崩塌”
2022 年以來,許多知名數字資產企業的消亡給整個行業都蒙上陰影。雖然這些企業全都從事數字資產買賣、借貸和交易業務,但當我們為其貼上相同標簽之前,應該考慮一下,這些已然倒閉的企業是否真正可以被歸類為數字資產公司。
可以肯定的是,導致這些企業失敗的原因更多是源於他們的商業運營模式,而不是他們所管理的資產。
中心化數字資產企業(也被稱為 CeFi,意為“中心化金融”,與“去中心化金融”DeFi 相反)的致命缺陷就隱含在其名稱中:它們在具有單點控制的中心化系統上運行,而這恰恰引發 2022 年我們所目睹的單點潰敗。
接下來的故事多少有些悲劇性的諷刺色彩。在 2022 年 2 月份的超級碗比賽期間(Super Bowl,美國國傢橄欖球聯盟年度冠軍賽),FTX 曾向數百萬的觀眾推銷數字資產的概念,並聲稱數字資產是“下一個大事件”,並暗示不參與其中的人就像廣告中所扮演的傻瓜那樣會錯失一切。
然而,FTX 背地裡卻將用戶的存款發送至該公司所謂的“非內部”但實際為內部的交易部門——Alameda,該部門很快就在投資上損失數十億美元,這也嚴重違反該交易所的服務條款。
關於 FTX 非流動性資產負債狀況的驚人消息很快不脛而走,典型的銀行擠兌事件也隨即爆發。如果一傢交易所按 1:1 的比例保留存款資金,且不在未經許可的情況下進行重新抵押或出借,那麼它或許就能經受住這次考驗。但 FTX 的情況並非如此。
FTX 前首席執行官 Sam Bankman-Fried 曾策劃一連串極其奢華的收購、贊助和救助活動,因此也令 FTX 的垮臺也更加令人難以置信。
比如另一傢現已倒閉的 CeFi 公司 Voyager Digital 在申請破產後就宣佈 FTX 成功收購其資產,然而在 FTX 閃電式崩盤後隻能再次申請破產,這些突如其來的事件全部發生在 2022 年下半年。
FTX “暴雷”讓 Web3 行業在熊市中雪上加霜|The Block
FTX 和 Three Arrows Capital 等公司的倒閉確實打擊許多大型投資機構,但受傷最嚴重的還是大量的普通散戶。鋪天蓋地的營銷、公眾人物代言和個人崇拜使他們將信任投放在錯誤的平臺,並為此付出慘痛代價。
之所以說受傷散戶的比例很高,是因為在 Voyager 平臺上,97% 的用戶資產都不到 1 萬美元。其中許多誤認為 CeFi 平臺更加安全的用戶,其資產現已蕩然無存。他們認為把資產存入 CeFi 平臺更加放心,收益也更高,同時避免去中心化平臺的智能合約所帶來的高入門門檻以及各種風險。
雖然這些教訓讓人們非常痛苦,但其實也是必不可少的一課。數字資產的核心原則是自我監管和自主權(Self-Custody and Self-Sovereignty),所以將用戶的資產控制權交給中心化平臺也就違背以上原則。這些平臺完全有可能不遵守其服務條款,而你也無從得知你的資產正被平臺如何利用。
此外,你無法驗證平臺的財務健康狀況,也不能追蹤資產的流向來解字面上的收益來源,以及所要承擔的風險,一切都隻是建立在用戶的盲目信任和信念之上,而 2022 年所發生的事件也證明其結果:看似安然無恙的開端,最終卻墜入滿目瘡痍的結局。
Terra 崩盤
2022 年影響最大的事件之一是 Terra 的崩盤,其 450 億美元的市值在幾天內化為泡影。
與 Tether、USDC 和 BUSD 等穩定幣不同,算法穩定幣並非依靠與美元 1:1 的錨定比率來維持穩定,而是通過其內部機制來維持貨幣錨定。具體來說,算法穩定幣通過智能合約設定的鑄幣及銷毀功能來維持其基本價值。
以 Terra 的 UST 穩定幣為例,UST 與另一項獨立的數字資產 Luna 掛鉤,UST 的持有者隨時可以把他們的資產兌換成等值的 LUNA。在 5 月初,LUNA 的交易價格為 85 美元,此時一個 UST 穩定幣可以交易 0.0118 枚 LUNA。
假如 UST 的交易價格跌破其設定的 1 美元門檻,做市商們隨即會把大量 UST 兌換為 LUNA 以縮小二者間的價值缺口。其原理是在降低 UST 供應量的同時,提升對 LUNA 的需求,也就是通過提高支持該穩定幣儲備資產的價格,來維持貨幣錨定的穩定。
5 月 7 日,鏈上分析顯示 UST 被大量拋售,8500 萬的 UST 被兌換成 8450 萬 USDC,這直接導致 UST 首次脫鉤美元。受此影響,5 月 8 日 UST 的價格跌至 0.985 美元的低點。
為讓 UST 重新錨定美元,Luna Foundation Guard(LFG)部署價值 7.5 億美元的比特幣,以協助做市商們維持 UST 價格的穩定。在市場環境恢復正常後,LFG 又回購價值 7.5 億美元的比特幣。
Terra 和 LUNA 之間的機制在危機面前迅速崩潰|Bitnovo
然而令人意想不到的是,5 月 9 日 UST 的價格竟然跌至 0.65 美元的更低點。UST 的再次脫鉤隨之引發 LUNA 的價格震動,其價格驟跌至 35 美元,跌幅超過 44%,而這又使得 LUNA 與 UST 之間的市值脫鉤,從而危及其作為穩定儲備資產的功能。因為此時的 LUNA 生態系統已經沒有足夠的價值來抵押所有正在流通的 UST 。
從這時開始,LUNA 和 UST 之間的微妙平衡開始瓦解。
然而禍不單行,Terra 創建者 Terraform Labs 的首席執行官 Do Kwon 被曝是此前失敗的算法穩定幣 Basis Cash 背後的匿名聯合創始人之一。有指控稱,在經歷價值脫鉤和數十億美元的損失後,Do Kwon 挪用價值約 6700 萬美元的比特幣,卻並未將其用於維護貨幣錨定。韓國檢察官已對 Do Kwon's 發出逮捕令,但其目前仍然在逃。
Terra/LUNA 的這次歷史性的崩盤讓整個區塊鏈生態系統措手不及,從業者們和用戶不得不停下來思考此次事件對 Web3 的未來產生的深刻影響。
去中心化是答案嗎?
相對於中心化平臺,而 Aave 等 DeFi 平臺的持續成功,為去中心化商業模式提供正面的素材支持。用戶可以實時驗證 Aave 的償還支付能力,解儲戶賺取的收益來自哪裡。而該平臺的清算過程,根本不允許出現最終導致 Celsius 倒閉的風險。
與中心化金融平臺相比,DeFi 明顯具有多方面的優勢。
不過為 Web3 提供動力的智能合約在某種程度上也不是無懈可擊的:DeFi 協議也有屬於自己的一系列風險,比如智能合約的編寫不規范會引入一系列的漏洞,而黑客們已經發現並利用這些漏洞,在 2022 年竊取高達 30 多億美元的資金。
或許這就是 Web3 世界的意義:建立在開源區塊鏈上的去中心化應用,為不透明的中心化機構世界提供強有力的替代,同樣也為具有眾所周知缺陷的金融運作方式提供真正的替代。
使用過 Aave 的用戶可能知道,該平臺是無法違背其服務條款的,因為這些條款被寫入管理其運作的智能合約,就如同一個準則被寫入 DNA 一樣;在 Pancake Swap 平臺上交易的用戶也不需要擔心他們的資產控制權有可能被轉移給平臺,因為所有交易都在區塊鏈上被公開透明地執行;雖然各種高收益率的 Yield 產品可能會使用戶承擔相當大的風險,但這也取決於 Yield 產品的特性和策略。無論如何用戶可以隨時看到他們資產的去向以及收益率的獲得方式,一切將公開透明。
去中心化金融 DeFi 比 CeFi 在機制上更可靠,但依然有安全挑戰|BAP Solution
雖然以上所述確實給用戶帶來更多的盡職調查負擔,但 Web3 模式相較中心化平臺還是有著不可比擬的優勢,許多中心化金融(CeFi)的崩潰故事在去中心化的環境中根本不可能發生。
然而,Web3 在實現其全部潛力和被認為是 CeFi 的真正替代之前,還有一段路要走。
值得思考的是:為什麼數以百萬計的用戶願意將數十億美元“托付”給這些中心化組織?
或許是因為中心化組織提供一個流程簡化的服務,並且消除自我保管的風險。除此之外,他們也提供更大的流動性和更豐富的金融產品,並提供支持與服務平臺以便及時幫助用戶解決遇到的問題。最後,別忘黑客僅 2022 年就利用去中心化協議的漏洞獲得數十億美元的收益,這也是為什麼更多人選擇相信中心化的平臺。
如果想要走的更遠,Web3 需要在兩個主要方面進行改進:可用性和安全性。
可用性:要解如何使用某 DeFi 平臺,有時候甚至需要花上數小時去研究,而這僅僅還是資金投入之前。想要研究透徹多個平臺,甚至可能會花上幾天。
安全性:雖然 DeFi 在 2022 年的損失可能比 CeFi 少,但從 Web3 中流失的價值仍然有數十億美元。通過對 2022 年主要事件的總結,我們希望能夠喚起人們對 Web3 仍需改進的領域特別是安全方面的關註。隻有重新致力於基本理想和回歸初心,我們才能建立一個完整的替代性產品,為每個人提供真正自由和公平的金融系統。
黑客兇猛
2022 年,針對跨鏈橋的攻擊事件共導致 13 億美元的損失,這個數字占據過去 12 個月總損失金額的 36%。僅其中三起事件就占據整個跨鏈橋資產損失的 87%,這也凸顯跨鏈橋攻擊會帶來的巨大風險。
跨鏈應用大多具有極其復雜的技術結構,同時也包含各種攻擊載體。其復雜性能夠為其提供更廣泛的功能,但代價是會暴露更多的攻擊面。
Play-to-earn 最火的遊戲 Axie Infinity 遭到黑客攻擊|Play to Earn
Ronin 損失 6.25 億美元
Ronin Bridge 事件可以說是 DeFi 領域有史以來最大的攻擊事件/漏洞。3 月 23 日,為 Web3 遊戲 Axie Infinity 建立的側鏈被黑客攻擊,超過 173,600 枚 ETH 和 2,550 萬 USDC(總價值 6.25 億美元)受到損失。
Nomad 的報告顯示,黑客設法獲得保護網絡的五個驗證節點私鑰,並且有證據表明攻擊者是黑客組織 Lazarus Group。該組織利用先進的魚叉式網絡釣魚攻擊來獲取私鑰,在榨幹資產後,攻擊者通過 Tornado Cash 和中心化交易所(包括 FTX 和 Huobi)將贓款洗白。
Wormhole 損失 3.26 億美元
2 月 2 日,Wormhole Bridge 被黑客攻擊,損失價值 3.26 億美元的資產。攻擊者通過註入假的 sysvar 賬戶來繞過驗證檢查,讓他們可以借此輸出惡意信息,並被 Bridge 接受。攻擊者通過調用帶有惡意信息的 complete_wrapped 函數,成功鑄造 12 萬枚 WETH。
鑄幣兩分鐘後,攻擊者將 1 萬枚 ETH 橋接到以太坊區塊鏈上。大約 20 分鐘後,以太坊區塊鏈上又進行 8 萬枚 ETH 的交易。截至 2022 年底,這些被盜資金仍存放在攻擊者的錢包。
Nomad 損失 1.9 億美元
8 月 1 日,Nomad Bridge 被利用,損失價值約 1.9 億美元。攻擊者利用初始化過程中的一個漏洞——即部署合約時將合約參數 committedRoot 初始化為零。這個漏洞可以使攻擊者繞過消息驗證,從而耗盡橋接合約中持有的 token。攻擊者隻要在一條鏈上存入 ETH(比如 0.1 甚至 0.0001 枚 ETH),就可在另一條鏈上收到任意數量的 ETH。
而值得註意的是,由於攻擊流程很快就被公開,而資金還在 Bridge 中,因此至少有 41 個錢包復制這一攻擊流程。結果導致 Nomad Bridge 幾乎全軍覆沒,其總鎖倉價值(TVL)在幾分鐘內從 1.9 億美元驟降至 1.2 萬美元。
大鱷和釣魚
Lazarus Group 一直是數字資產領域最持久、最有效的威脅者之一。除讓他們凈賺 5 億多美元的 Ronin Bridge 漏洞外,這個黑客組織在 2022 年還進行多次有利可圖的攻擊。最值得關註的是 Operation In(ter)ception,Gate.io 漏洞,和 Harmony Horizon Bridge 攻擊。
In(ter)ception 行動是一個由 Lazarus Group 實施的求職欺詐廣告計劃,Lazarus 在 LinkedIn 等網站上發佈工作機會,要求申請者下載一個部署有可執行文件的 PDF 文件,然後這個惡意軟件使 Lazarus 的操作人員能夠針對受害者系統中的漏洞,竊取業內員工的敏感信息。
Lazarus Group 的活動反面襯托 Web3 行業中構建和運營時安全的重要性。而 DeFi 平臺想要足夠安全,不僅要能抵禦來自無良 Solidity 開發者的攻擊,同時還能抵禦來自世界上最有效的黑客的攻擊。否則,持有數億美元用戶資金的智能合約將繼續成為攻擊目標。
另一方面,網絡釣魚攻擊仍是 Web 3 領域的持續威脅,而且欺詐者們的騙術也隨著道高一尺魔高一丈而變得越來越高超精湛。目前已有數百萬美元價值的資產因為網絡釣魚而被盜。不僅是社群,個人用戶也成為惡意軟件和惡意者的目標。新型網絡釣魚方式層出不窮,而他們的詐騙行為均是利用區塊鏈的不可逆性以及用戶的經驗缺乏。
比如最近新出的一種網絡釣魚方式,被稱為 Ice Phishing 騙局,通俗一點理解就是空手套白狼。
它與傳統網絡釣魚攻擊不同,是 Web3 獨有的攻擊類型。傳統網絡釣魚通常會通過一些手段獲得如私鑰或密碼等個人信息,而 Ice Phishing 則更多是為欺騙用戶簽署權限,並授予惡意者任意花費其資產,但又無需獲取用戶的私鑰。
Ice Phishing 對 Web3 的投資者來說是相當大的威脅,因為與 DeFi 協議的互動需要用戶授予某些權限,而簽名到底授予哪些權限人們並不總是百分之百清楚。
圖片來源:InfoSec
Web3 壓力測試
2022 年,數字貨幣的市值損失數萬億美元,數百億美元被封鎖在中心化機構已破產的程序中,而去中心化的協議損失 30 多億美元,因此 2022 年的美好景象已很難描繪而出。
由於形勢的極端動蕩,許多 Web3 頭部大型參與者已經消失在歷史中,這包括那些我們曾經以為無懈可擊的項目或平臺。不過幸存的大多數 Web3 應用程序和平臺仍在危機中緩緩前進,目前來看一切尚還維持著常態。
過去的 12 個月對整個行業都是一個重大的壓力測試,並不是所有的人都挺過來。但是“殺不死你的會讓你變得更強大”,幸存者將吸取往日的教訓,搏出更具潛力的前景。
開源、去中心化的系統為用戶提供真正的好處,可以使互聯網成為一個更自由、更公平的地方,這是在建設數字未來時要牢記的願景。但是,當你的資產可能在頃刻之間被盜時,公平和自由就毫無意義可言。這就是為什麼安全是至關重要的因素。而 CertiK 端到端的安全解決方案,為用戶和建設者提供他們需要的工具,使得用戶可以安全地瀏覽新興的 Web3 世界。
安全是一種選擇,為將 Web3 的優勢帶給最廣泛的用戶群體,我們無疑需要做出這種選擇。
2022 年是艱難的一年,但艱難的時刻已經過去。現在正是時候以全新且樂觀的態度展望行業的未來。