從暴雷到駭客攻擊,2022 是 Web3 的又一次壓力測試。
來源:https://certik-2.hubspotpagebuilder.com/2022
編輯:CertiK
2023 年 1 月中旬,隨著中國農曆新年臨近,以比特幣、以太坊為代表的加密貨幣,在經歷了幾個月的蟄伏期後,經歷了一波「小漲」。連帶著因為 FTX「暴雷」而一蹶不振的 Web3 行業,重新煥發出一絲活力。
剛剛過去的 2022 年,對於 Web3 從業者來說是艱難的一年——從駭客攻擊、跨鏈橋失守,再到著名中心化交易所和投資機構相繼暴雷,整個 Web3 行業也被拖入熊市。
從某種角度來看,安全問題,而不是「易用性」,已經成為 Web3 行業最大的挑戰之一。
不久前,專門從事 Web3 安全的創業公司 CertiK 團隊,釋出了 2022 年 Web3 安全報告。作為業內少有的專門針對 Web3 行業提供安全解決方案的公司,CertiK 收到來自紅杉等著名機構的投資,目前估值已超過 20 億美元,成為新晉的 Web3 行業的獨角獸公司。
根據這份報告,整個 2022 年,駭客從 Web3 協議中盜取了價值 37.7 億美元的資產,這還不算 FTX、Terra 等中心化機構中暴雷,而讓使用者損失的上百億美元。
面對這樣的難題,Web3 創業團隊和公司,又該怎樣保障自己和使用者財產的安全?
下面是 CertiK 推出的 2022 Web3 安全報告正文,經極客公園編輯整理。
欲閱讀完整報告,可點選連結進行申請下載(https://certik-2.hubspotpagebuilder.com/2022)。
圖片來源:Pixabay
報告概述
2022 年對於整個數字資產行業來說是艱難的一年。在市場低迷的大環境下,65% 的數字資產市值化為烏有,而數量空前的駭客攻擊、詐騙事件和機構崩盤,讓本就損失慘重的投資者們雪上加霜。
從 2022 年 3 月 Ronin Bridge 被盜 6.24 億美元事件到 11 月 FTX 幾乎一夜崩塌,2022 年的損失規模創下了歷史之最。2022 年 Web3 協議的資產損失約為 37.7 億美元,遠遠超過 2021 年的 13 億美元紀錄。
本報告將深入探究導致 Celsius、BlockFi 以及 FTX 等中心化交易所潰敗的各種因素。作為這些迅速重蹈行業覆轍的中心化機構的替代品,Web3 和基於開源區塊鏈的去中心化金融應用將會發揮重要作用,但僅憑這一點就期望 Web3 走向大規模應用還不太現實。
雖然與 2022 年中心化領域的破產規模相比,去中心化世界的損失相對較小,但其總額也有數十億美元之多。整個 Web3 行業都需要對過去一年進行深刻反思,努力從這段艱難時期中尋求一線生機。
雖然不安全的協議仍在不斷造成損失,但這並不能否定 Web3 所具有的真正價值。如今,各類資產的估值普遍下降,人們的狂熱情緒也逐漸平息。由此我們可以退一步審視現狀,並在一個更加堅實的基礎上建設這個行業。
除了回顧 2022 年發生的主要駭客攻擊和漏洞事件外,本報告也將展示 CertiK 公開的獨家安全研究,以履行其守護 Web3 世界的使命。
01
「中心化」之殤
FTX「一夜崩塌」
2022 年以來,許多著名數字資產企業的消亡給整個行業都蒙上了陰影。雖然這些企業全都從事數字資產買賣、借貸和交易業務,但當我們為其貼上相同標籤之前,應該考慮一下,這些已然倒閉的企業是否真正可以被歸類為數字資產公司。
可以肯定的是,導致這些企業失敗的原因更多是源於他們的商業運營模式,而不是他們所管理的資產。
中心化數字資產企業(也被稱為 CeFi,意為「中心化金融」,與「去中心化金融」DeFi 相反)的致命缺陷就隱含在其名稱中:它們在具有單點控制的中心化系統上執行,而這恰恰引發了 2022 年我們所目睹的單點潰敗。
接下來的故事多少有些悲劇性的諷刺色彩。在 2022 年 2 月份的超級碗比賽期間(Super Bowl,美國國家橄欖球聯盟年度冠軍賽),FTX 曾向數百萬的觀眾推銷數字資產的概念,並聲稱數字資產是「下一個大事件」,並暗示不參與其中的人就像廣告中所扮演的傻瓜那樣會錯失一切。
然而,FTX 背地裡卻將使用者的存款傳送至該公司所謂的「非內部」但實際為內部的交易部門——Alameda,該部門很快就在投資上損失了數十億美元,這也嚴重違反了該交易所的服務條款。
關於 FTX 非流動性資產負債狀況的驚人訊息很快不脛而走,典型的銀行擠兌事件也隨即爆發。如果一家交易所按 1:1 的比例留存存款資金,且不在未經許可的情況下進行重新抵押或出借,那麼它或許就能經受住這次考驗。但 FTX 的情況並非如此。
FTX 前執行長 Sam Bankman-Fried 曾策劃了一連串極其奢華的收購、贊助和救助活動,因此也令 FTX 的垮臺也更加令人難以置信。
比如另一家現已倒閉的 CeFi 公司 Voyager Digital 在申請破產後就宣佈 FTX 成功收購了其資產,然而在 FTX 閃電式崩盤後只能再次申請破產,這些突如其來的事件全部發生在了 2022 年下半年。
FTX「暴雷」讓 Web3 行業在熊市中雪上加霜|The Block
FTX 和 Three Arrows Capital 等公司的倒閉確實打擊了許多大型投資機構,但受傷最嚴重的仍是大量的普通散戶。鋪天蓋地的營銷、公眾人物代言和個人崇拜使他們將信任投放在了錯誤的平臺,併為此付出了慘痛代價。
之所以說受傷散戶的比例很高,是因為在 Voyager 平臺上,97% 的使用者資產都不到 1 萬美元。其中許多誤認為 CeFi 平臺更加安全的使用者,其資產現已蕩然無存。他們認為把資產存入 CeFi 平臺更加放心,收益也更高,同時避免了去中心化平臺的智慧合約所帶來的高入門門檻以及各種風險。
雖然這些教訓讓人們非常痛苦,但其實也是必不可少的一課。數字資產的核心原則是自我監管和自主權(Self-Custody and Self-Sovereignty),所以將使用者的資產控制權交給中心化平臺也就違背了以上原則。這些平臺完全有可能不遵守其服務條款,而你也無從得知你的資產正被平臺如何利用。
此外,你無法驗證平臺的財務健康狀況,也不能追蹤資產的流向來了解字面上的收益來源,以及所要承擔的風險,一切都只是建立在使用者的盲目信任和信念之上,而 2022 年所發生的事件也證明了其結果:看似安然無恙的開端,最終卻墜入了滿目瘡痍的結局。
Terra 崩盤
2022 年影響最大的事件之一是 Terra 的崩盤,其 450 億美元的市值在幾天內化為泡影。
與 Tether、USDC 和 BUSD 等不亂幣不同,演算法不亂幣並非依靠與美元 1:1 的錨定比率來維持不亂,而是透過其內部機制來維持貨幣錨定。具體來說,演算法不亂幣透過智慧合約設定的鑄幣及銷燬功能來維持其基本價值。
以 Terra 的 UST 不亂幣為例,UST 與另一項獨立的數字資產 Luna 掛鉤,UST 的持有者隨時可以把他們的資產兌換成等值的 LUNA。在 5 月初,LUNA 的交易價格為 85 美元,此時一個 UST 不亂幣可以交易 0.0118 枚 LUNA。
假如 UST 的交易價格跌破其設定的 1 美元門檻,做市商們隨即會把大量 UST 兌換為 LUNA 以縮小二者間的價值缺口。其原理是在降低 UST 供應量的同時,提升對 LUNA 的需求,也就是透過提高支援該不亂幣儲備資產的價格,來維持貨幣錨定的穩定。
5 月 7 日,鏈上分析顯示 UST 被大量拋售,8500 萬的 UST 被兌換成了 8450 萬 USDC,這直接導致了 UST 首次脫鉤美元。受此影響,5 月 8 日 UST 的價格跌至 0.985 美元的低點。
為了讓 UST 重新錨定美元,Luna Foundation Guard(LFG)部署了價值 7.5 億美元的比特幣,以協助做市商們維持 UST 價格的穩定。在市場環境恢復正常後,LFG 又回購了價值 7.5 億美元的比特幣。
Terra 和 LUNA 之間的機制在危機面前迅速崩潰|Bitnovo
然而令人意想不到的是,5 月 9 日 UST 的價格竟然跌至 0.65 美元的更低點。UST 的再次脫鉤隨之引發了 LUNA 的價格震動,其價格驟跌至 35 美元,跌幅超過 44%,而這又使得 LUNA 與 UST 之間的市值脫鉤,從而危及其作為不亂儲備資產的功能。因為此時的 LUNA 生態系統已經沒有足夠的價值來抵押所有正在暢通流暢的 UST 了。
從這時開始,LUNA 和 UST 之間的微妙平衡開始瓦解。
然而災患叢生,Terra 建立者 Terraform Labs 的執行長 Do Kwon 被曝是此前失敗的演算法不亂幣 Basis Cash 背後的匿名聯合創始人之一。有指控稱,在經歷了價值脫鉤和數十億美元的損失後,Do Kwon 挪用了價值約 6700 萬美元的比特幣,卻並未將其用於維護貨幣錨定。韓國檢察官已對 Do Kwon"s 發出逮捕令,但其目前仍然在逃。
Terra/LUNA 的這次歷史性的崩盤讓整個區塊鏈生態系統措手不及,從業者們和使用者不得不停下來思考此次事件對 Web3 的未來產生的深刻影響。
去中心化是答案嗎?
相對於中心化平臺,而 Aave 等 DeFi 平臺的持續成功,為去中心化商業模式提供了正面的素材支援。使用者可以實時驗證 Aave 的償還支付能力,瞭解儲戶賺取的收益來自哪裡。而該平臺的清算過程,根本不允許出現最終導致 Celsius 倒閉的風險。
與中心化金融平臺相比,DeFi 明顯具有多方面的優勢。
不過為 Web3 提供動力的智慧合約在某種程度上也不是無懈可擊的:DeFi 協議也有屬於自己的一系列風險,比如智慧合約的編寫不規範會引入一系列的漏洞,而駭客們已經發現並利用了這些漏洞,在 2022 年竊取了高達 30 多億美元的資金。
或許這就是 Web3 世界的意義:建立在開源區塊鏈上的去中心化應用,為不透明的中心化機構世界提供了強有力的替代,同樣也為具有眾所周知缺陷的金融運作方式提供了真正的替代。
使用過 Aave 的使用者可能知道,該平臺是無法違背其服務條款的,因為這些條款被寫入了管理其運作的智慧合約,就如同一個準則被寫入了 DNA 一樣;在 Pancake Swap 平臺上交易的使用者也不需要擔心他們的資產控制權有可能被轉移給平臺,因為所有交易都在區塊鏈上被公開透明地執行;雖然各種高收益率的 Yield 產品可能會使使用者承擔相當大的風險,但這也取決於 Yield 產品的特性和策略。無論如何使用者可以隨時看到他們資產的去向以及收益率的獲得方式,一切將公開透明。
去中心化金融 DeFi 比 CeFi 在機制上更可靠,但依然有安全挑戰|BAP Solution
雖然以上所述確實給使用者帶來了更多的盡職調查負擔,但 Web3 模式相較中心化平臺仍是有著不可比擬的優勢,許多中心化金融(CeFi)的崩潰故事在去中心化的環境中根本不可能發生。
然而,Web3 在實現其全部潛力和被認為是 CeFi 的真正替代之前,還有一段路要走。
值得思考的是:為什麼數以百萬計的使用者願意將數十億美元「託付」給這些中心化組織?
或許是因為中心化組織提供了一個流程簡化的服務,並且消除了自我保管的風險。除此之外,他們也提供更大的流動性和更豐富的金融產品,並提供支援與服務平臺以便及時幫助使用者解決遇到的問題。最後,別忘了駭客僅 2022 年就利用去中心化協議的漏洞獲得了數十億美元的收益,這也是為什麼更多人選擇相信中心化的平臺。
如果想要走的更遠,Web3 需要在兩個主要方面進行改進:可用性和安全性。
可用性:要了解如何使用某 DeFi 平臺,有時候甚至需要花上數小時去研究,而這僅僅仍是資金投入之前。想要研究透徹多個平臺,甚至可能會花上幾天。
安全性:雖然 DeFi 在 2022 年的損失可能比 CeFi 少,但從 Web3 中流失的價值仍然有數十億美元。透過對 2022 年主要事件的總結,我們希望能夠喚起人們對 Web3 仍需改進的領域特別是安全方面的關注。只有重新致力於基本理想和迴歸初心,我們才能建立一個完整的替代性產品,為每個人提供真正自由和公平的金融系統。
02
駭客兇猛
2022 年,針對跨鏈橋的攻擊事件共導致了 13 億美元的損失,這個數字佔據了過去 12 個月總損失金額的 36%。僅其中三起事件就佔據了整個跨鏈橋資產損失的 87%,這也凸顯了跨鏈橋攻擊會帶來的巨大風險。
跨鏈應用大多具有極其複雜的技術結構,同時也包含了各種攻擊載體。其複雜性能夠為其提供更廣泛的功能,但代價是會暴露更多的攻擊面。
