幣價上漲活力恢復,但 Web3 最深的「雷」依然存在

從暴雷到駭客攻擊,2022 是 Web3 的又一次壓力測試。

來源:https://certik-2.hubspotpagebuilder.com/2022

編輯:CertiK

原標題:HACK3D 2022 年 WEB3.0 領域安全報告

2023 年 1 月中旬,隨著中國農曆新年臨近,以比特幣、以太坊為代表的加密貨幣,在經歷了幾個月的蟄伏期後,經歷了一波「小漲」。連帶著因為 FTX「暴雷」而一蹶不振的 Web3 行業,重新煥發出一絲活力。

剛剛過去的 2022 年,對於 Web3 從業者來說是艱難的一年——從駭客攻擊、跨鏈橋失守,再到知名中心化交易所和投資機構相繼暴雷,整個 Web3 行業也被拖入熊市。

從某種角度來看,安全問題,而不是「易用性」,已經成為 Web3 行業最大的挑戰之一。

不久前,專門從事 Web3 安全的創業公司 CertiK 團隊,發佈了 2022 年 Web3 安全報告。作為業內少有的專門針對 Web3 行業提供安全解決方案的公司,CertiK 收到來自紅杉等知名機構的投資,目前估值已超過 20 億美元,成為新晉的 Web3 行業的獨角獸公司。

根據這份報告,整個 2022 年,駭客從 Web3 協議中盜取了價值 37.7 億美元的資產,這還不算 FTX、Terra 等中心化機構中暴雷,而讓使用者損失的上百億美元。

面對這樣的難題,Web3 創業團隊和公司,又該怎樣保障自己和使用者財產的安全?

下面是 CertiK 推出的 2022 Web3 安全報告正文,經極客公園編輯整理。

欲閱讀完整報告,可點選連結進行申請下載(https://certik-2.hubspotpagebuilder.com/2022)。

圖片來源:Pixabay

圖片來源:Pixabay

報告概述

2022 年對於整個數字資產行業來說是艱難的一年。在市場低迷的大環境下,65% 的數字資產市值化為烏有,而數量空前的駭客攻擊、詐騙事件和機構崩盤,讓本就損失慘重的投資者們雪上加霜。

從 2022 年 3 月 Ronin Bridge 被盜 6.24 億美元事件到 11 月 FTX 幾乎一夜崩塌,2022 年的損失規模創下了歷史之最。2022 年 Web3 協議的資產損失約為 37.7 億美元,遠遠超過 2021 年的 13 億美元紀錄。

本報告將深入探究導致 Celsius、BlockFi 以及 FTX 等中心化交易所潰敗的各種因素。作為這些迅速重蹈行業覆轍的中心化機構的替代品,Web3 和基於開源區塊鏈的去中心化金融應用將會發揮重要作用,但僅憑這一點就期望 Web3 走向大規模應用還不太現實。

雖然與 2022 年中心化領域的破產規模相比,去中心化世界的損失相對較小,但其總額也有數十億美元之多。整個 Web3 行業都需要對過去一年進行深刻反思,努力從這段艱難時期中尋求一線生機。

雖然不安全的協議仍在不斷造成損失,但這並不能否定 Web3 所具有的真正價值。如今,各類資產的估值普遍下降,人們的狂熱情緒也逐漸平息。由此我們可以退一步審視現狀,並在一個更加堅實的基礎上建設這個行業。

除了回顧 2022 年發生的主要駭客攻擊和漏洞事件外,本報告也將展示 CertiK 公開的獨家安全研究,以履行其守護 Web3 世界的使命。

01

「中心化」之殤

FTX「一夜崩塌」

2022 年以來,許多知名數字資產企業的消亡給整個行業都蒙上了陰影。雖然這些企業全都從事數字資產買賣、借貸和交易業務,但當我們為其貼上相同標籤之前,應該考慮一下,這些已然倒閉的企業是否真正可以被歸類為數字資產公司。

可以肯定的是,導致這些企業失敗的原因更多是源於他們的商業運營模式,而不是他們所管理的資產。

中心化數字資產企業(也被稱為 CeFi,意為「中心化金融」,與「去中心化金融」DeFi 相反)的致命缺陷就隱含在其名稱中:它們在具有單點控制的中心化系統上運行,而這恰恰引發了 2022 年我們所目睹的單點潰敗。

接下來的故事多少有些悲劇性的諷刺色彩。在 2022 年 2 月份的超級碗比賽期間(Super Bowl,美國國家橄欖球聯盟年度冠軍賽),FTX 曾向數百萬的觀眾推銷數字資產的概念,並聲稱數字資產是「下一個大事件」,並暗示不參與其中的人就像廣告中所扮演的傻瓜那樣會錯失一切。

然而,FTX 背地裡卻將使用者的存款發送至該公司所謂的「非內部」但實際為內部的交易部門——Alameda,該部門很快就在投資上損失了數十億美元,這也嚴重違反了該交易所的服務條款。

關於 FTX 非流動性資產負債狀況的驚人訊息很快不脛而走,典型的銀行擠兌事件也隨即爆發。如果一家交易所按 1:1 的比例保留存款資金,且不在未經許可的情況下進行重新抵押或出借,那麼它或許就能經受住這次考驗。但 FTX 的情況並非如此。

FTX 前執行長 Sam Bankman-Fried 曾策劃了一連串極其奢華的收購、贊助和救助活動,因此也令 FTX 的垮臺也更加令人難以置信。

比如另一家現已倒閉的 CeFi 公司 Voyager Digital 在申請破產後就宣佈 FTX 成功收購了其資產,然而在 FTX 閃電式崩盤後只能再次申請破產,這些突如其來的事件全部發生在了 2022 年下半年。

FTX「暴雷」讓 Web3 行業在熊市中雪上加霜|The Block

FTX 和 Three Arrows Capital 等公司的倒閉確實打擊了許多大型投資機構,但受傷最嚴重的還是大量的普通散戶。鋪天蓋地的營銷、公眾人物代言和個人崇拜使他們將信任投放在了錯誤的平臺,併為此付出了慘痛代價。

之所以說受傷散戶的比例很高,是因為在 Voyager 平臺上,97% 的使用者資產都不到 1 萬美元。其中許多誤認為 CeFi 平臺更加安全的使用者,其資產現已蕩然無存。他們認為把資產存入 CeFi 平臺更加放心,收益也更高,同時避免了去中心化平臺的智慧合約所帶來的高入門門檻以及各種風險。

雖然這些教訓讓人們非常痛苦,但其實也是必不可少的一課。數字資產的核心原則是自我監管和自主權(Self-Custody and Self-Sovereignty),所以將使用者的資產控制權交給中心化平臺也就違背了以上原則。這些平臺完全有可能不遵守其服務條款,而你也無從得知你的資產正被平臺如何利用。

此外,你無法驗證平臺的財務健康狀況,也不能追蹤資產的流向來了解字面上的收益來源,以及所要承擔的風險,一切都只是建立在使用者的盲目信任和信念之上,而 2022 年所發生的事件也證明了其結果:看似安然無恙的開端,最終卻墜入了滿目瘡痍的結局。

Terra 崩盤

2022 年影響最大的事件之一是 Terra 的崩盤,其 450 億美元的市值在幾天內化為泡影。

與 Tether、USDC 和 BUSD 等穩定幣不同,演算法穩定幣並非依靠與美元 1:1 的錨定比率來維持穩定,而是通過其內部機制來維持貨幣錨定。具體來說,演算法穩定幣通過智慧合約設定的鑄幣及銷燬功能來維持其基本價值。

以 Terra 的 UST 穩定幣為例,UST 與另一項獨立的數字資產 Luna 掛鉤,UST 的持有者隨時可以把他們的資產兌換成等值的 LUNA。在 5 月初,LUNA 的交易價格為 85 美元,此時一個 UST 穩定幣可以交易 0.0118 枚 LUNA。

假如 UST 的交易價格跌破其設定的 1 美元門檻,做市商們隨即會把大量 UST 兌換為 LUNA 以縮小二者間的價值缺口。其原理是在降低 UST 供應量的同時,提升對 LUNA 的需求,也就是通過提高支持該穩定幣儲備資產的價格,來維持貨幣錨定的穩定。

5 月 7 日,鏈上分析顯示 UST 被大量拋售,8500 萬的 UST 被兌換成了 8450 萬 USDC,這直接導致了 UST 首次脫鉤美元。受此影響,5 月 8 日 UST 的價格跌至 0.985 美元的低點。

為了讓 UST 重新錨定美元,Luna Foundation Guard(LFG)部署了價值 7.5 億美元的比特幣,以協助做市商們維持 UST 價格的穩定。在市場環境恢復正常後,LFG 又回購了價值 7.5 億美元的比特幣。

Terra 和 LUNA 之間的機制在危機面前迅速崩潰|Bitnovo

然而令人意想不到的是,5 月 9 日 UST 的價格竟然跌至 0.65 美元的更低點。UST 的再次脫鉤隨之引發了 LUNA 的價格震動,其價格驟跌至 35 美元,跌幅超過 44%,而這又使得 LUNA 與 UST 之間的市值脫鉤,從而危及其作為穩定儲備資產的功能。因為此時的 LUNA 生態系統已經沒有足夠的價值來抵押所有正在流通的 UST 了。

從這時開始,LUNA 和 UST 之間的微妙平衡開始瓦解。

然而禍不單行,Terra 創建者 Terraform Labs 的執行長 Do Kwon 被曝是此前失敗的演算法穩定幣 Basis Cash 背後的匿名聯合創始人之一。有指控稱,在經歷了價值脫鉤和數十億美元的損失後,Do Kwon 挪用了價值約 6700 萬美元的比特幣,卻並未將其用於維護貨幣錨定。韓國檢察官已對 Do Kwon’s 發出逮捕令,但其目前仍然在逃。

Terra/LUNA 的這次歷史性的崩盤讓整個區塊鏈生態系統措手不及,從業者們和使用者不得不停下來思考此次事件對 Web3 的未來產生的深刻影響。

去中心化是答案嗎?

相對於中心化平臺,而 Aave 等 DeFi 平臺的持續成功,為去中心化商業模式提供了正面的素材支持。使用者可以實時驗證 Aave 的償還支付能力,了解儲戶賺取的收益來自哪裡。而該平臺的清算過程,根本不允許出現最終導致 Celsius 倒閉的風險。

與中心化金融平臺相比,DeFi 明顯具有多方面的優勢。

不過為 Web3 提供動力的智慧合約在某種程度上也不是無懈可擊的:DeFi 協議也有屬於自己的一系列風險,比如智慧合約的編寫不規範會引入一系列的漏洞,而駭客們已經發現並利用了這些漏洞,在 2022 年竊取了高達 30 多億美元的資金。

或許這就是 Web3 世界的意義:建立在開源區塊鏈上的去中心化應用,為不透明的中心化機構世界提供了強有力的替代,同樣也為具有眾所周知缺陷的金融運作方式提供了真正的替代。

使用過 Aave 的使用者可能知道,該平臺是無法違背其服務條款的,因為這些條款被寫入了管理其運作的智慧合約,就如同一個準則被寫入了 DNA 一樣;在 Pancake Swap 平臺上交易的使用者也不需要擔心他們的資產控制權有可能被轉移給平臺,因為所有交易都在區塊鏈上被公開透明地執行;雖然各種高收益率的 Yield 產品可能會使使用者承擔相當大的風險,但這也取決於 Yield 產品的特性和策略。無論如何使用者可以隨時看到他們資產的去向以及收益率的獲得方式,一切將公開透明。

去中心化金融 DeFi 比 CeFi 在機制上更可靠,但依然有安全挑戰|BAP Solution

雖然以上所述確實給使用者帶來了更多的盡職調查負擔,但 Web3 模式相較中心化平臺還是有著不可比擬的優勢,許多中心化金融(CeFi)的崩潰故事在去中心化的環境中根本不可能發生。

然而,Web3 在實現其全部潛力和被認為是 CeFi 的真正替代之前,還有一段路要走。

值得思考的是:為什麼數以百萬計的使用者願意將數十億美元「託付」給這些中心化組織?

或許是因為中心化組織提供了一個流程簡化的服務,並且消除了自我保管的風險。除此之外,他們也提供更大的流動性和更豐富的金融產品,並提供支持與服務平臺以便及時幫助使用者解決遇到的問題。最後,別忘了駭客僅 2022 年就利用去中心化協議的漏洞獲得了數十億美元的收益,這也是為什麼更多人選擇相信中心化的平臺。

如果想要走的更遠,Web3 需要在兩個主要方面進行改進:可用性和安全性。

可用性:要了解如何使用某 DeFi 平臺,有時候甚至需要花上數小時去研究,而這僅僅還是資金投入之前。想要研究透徹多個平臺,甚至可能會花上幾天。

安全性:雖然 DeFi 在 2022 年的損失可能比 CeFi 少,但從 Web3 中流失的價值仍然有數十億美元。通過對 2022 年主要事件的總結,我們希望能夠喚起人們對 Web3 仍需改進的領域特別是安全方面的關注。只有重新致力於基本理想和迴歸初心,我們才能建立一個完整的替代性產品,為每個人提供真正自由和公平的金融系統。

02

駭客凶猛

2022 年,針對跨鏈橋的攻擊事件共導致了 13 億美元的損失,這個數字佔據了過去 12 個月總損失金額的 36%。僅其中三起事件就佔據了整個跨鏈橋資產損失的 87%,這也凸顯了跨鏈橋攻擊會帶來的巨大風險。

跨鏈應用大多具有極其複雜的技術結構,同時也包含了各種攻擊載體。其複雜性能夠為其提供更廣泛的功能,但代價是會暴露更多的攻擊面。

Play-to-earn 最火的遊戲 Axie Infinity 遭到了駭客攻擊|Play to Earn

Ronin 損失 6.25 億美元

Ronin Bridge 事件可以說是 DeFi 領域有史以來最大的攻擊事件/漏洞。3 月 23 日,為 Web3 遊戲 Axie Infinity 建立的側鏈被駭客攻擊,超過 173,600 枚 ETH 和 2,550 萬 USDC(總價值 6.25 億美元)受到損失。

Nomad 的報告顯示,駭客設法獲得了保護網路的五個驗證節點私鑰,並且有證據表明攻擊者是駭客組織 Lazarus Group。該組織利用先進的魚叉式網路釣魚攻擊來獲取私鑰,在榨乾資產後,攻擊者通過 Tornado Cash 和中心化交易所(包括 FTX 和 Huobi)將贓款洗白。

Wormhole 損失 3.26 億美元

2 月 2 日,Wormhole Bridge 被駭客攻擊,損失了價值 3.26 億美元的資產。攻擊者通過注入假的 sysvar 賬戶來繞過驗證檢查,讓他們可以藉此輸出惡意資訊,並被 Bridge 接受。攻擊者通過調用帶有惡意資訊的 complete_wrapped 函數,成功鑄造了 12 萬枚 WETH。

鑄幣兩分鐘後,攻擊者將 1 萬枚 ETH 橋接到以太坊區塊鏈上。大約 20 分鐘後,以太坊區塊鏈上又進行了 8 萬枚 ETH 的交易。截至 2022 年底,這些被盜資金仍存放在攻擊者的錢包。

Nomad 損失 1.9 億美元

8 月 1 日,Nomad Bridge 被利用,損失價值約 1.9 億美元。攻擊者利用了初始化過程中的一個漏洞——即部署合約時將合約參數 committedRoot 初始化為零。這個漏洞可以使攻擊者繞過訊息驗證,從而耗盡橋接合約中持有的 token。攻擊者只要在一條鏈上存入 ETH(比如 0.1 甚至 0.0001 枚 ETH),就可在另一條鏈上收到任意數量的 ETH。

而值得注意的是,由於攻擊流程很快就被公開了,而資金還在 Bridge 中,因此至少有 41 個錢包複製了這一攻擊流程。結果導致 Nomad Bridge 幾乎全軍覆沒,其總鎖倉價值(TVL)在幾分鐘內從 1.9 億美元驟降至 1.2 萬美元。

大鱷和釣魚

Lazarus Group 一直是數字資產領域最持久、最有效的威脅者之一。除了讓他們淨賺 5 億多美元的 Ronin Bridge 漏洞外,這個駭客組織在 2022 年還進行了多次有利可圖的攻擊。最值得關注的是 Operation In(ter)ception,Gate.io 漏洞,和 Harmony Horizon Bridge 攻擊。

In(ter)ception 行動是一個由 Lazarus Group 實施的求職欺詐廣告計劃,Lazarus 在 LinkedIn 等網站上發佈工作機會,要求申請者下載一個部署有可執行檔案的 PDF 檔案,然後這個惡意軟體使 Lazarus 的操作人員能夠針對受害者系統中的漏洞,竊取業內員工的敏感資訊。

Lazarus Group 的活動反面襯托了 Web3 行業中構建和運營時安全的重要性。而 DeFi 平臺想要足夠安全,不僅要能抵禦來自無良 Solidity 開發者的攻擊,同時還能抵禦來自世界上最有效的駭客的攻擊。否則,持有數億美元使用者資金的智慧合約將繼續成為攻擊目標。

另一方面,網路釣魚攻擊仍是 Web 3 領域的持續威脅,而且欺詐者們的騙術也隨著道高一尺魔高一丈而變得越來越高超精湛。目前已有數百萬美元價值的資產因為網路釣魚而被盜。不僅是社群,個人使用者也成為了惡意軟體和惡意者的目標。新型網路釣魚方式層出不窮,而他們的詐騙行為均是利用了區塊鏈的不可逆性以及使用者的經驗缺乏。

比如最近新出的一種網路釣魚方式,被稱為 Ice Phishing 騙局,通俗一點理解就是空手套白狼。

它與傳統網路釣魚攻擊不同,是 Web3 獨有的攻擊類型。傳統網路釣魚通常會通過一些手段獲得如私鑰或密碼等個人資訊,而 Ice Phishing 則更多是為了欺騙使用者簽署許可權,並授予惡意者任意花費其資產,但又無需獲取使用者的私鑰。

Ice Phishing 對 Web3 的投資者來說是相當大的威脅,因為與 DeFi 協議的互動需要使用者授予某些許可權,而簽名到底授予了哪些許可權人們並不總是百分之百清楚。

圖片來源:InfoSec

圖片來源:InfoSec

03

Web3 壓力測試

2022 年,數位貨幣的市值損失了數萬億美元,數百億美元被封鎖在中心化機構已破產的程序中,而去中心化的協議損失了 30 多億美元,因此 2022 年的美好景象已很難描繪而出。

由於形勢的極端動盪,許多 Web3 頭部大型參與者已經消失在歷史中,這包括了那些我們曾經以為無懈可擊的項目或平臺。不過倖存的大多數 Web3 應用程序和平臺仍在危機中緩緩前進,目前來看一切尚還維持著常態。

過去的 12 個月對整個行業都是一個重大的壓力測試,並不是所有的人都挺過來了。但是「殺不死你的會讓你變得更強大」,倖存者將吸取往日的教訓,搏出更具潛力的前景。

開源、去中心化的系統為使用者提供了真正的好處,可以使網際網路成為一個更自由、更公平的地方,這是在建設數字未來時要牢記的願景。但是,當你的資產可能在頃刻之間被盜時,公平和自由就毫無意義可言了。這就是為什麼安全是至關重要的因素。而 CertiK 端到端的安全解決方案,為使用者和建設者提供了他們需要的工具,使得使用者可以安全地瀏覽新興的 Web3 世界。

安全是一種選擇,為了將 Web3 的優勢帶給最廣泛的使用者群體,我們無疑需要做出這種選擇。

2022 年是艱難的一年,但艱難的時刻已經過去。現在正是時候以全新且樂觀的態度展望行業的未來。

相關文章

建設 Web3,現在最需要 Web2 的移民?

建設 Web3,現在最需要 Web2 的移民?

Web3 處在「大規模應用」爆發的前夜 從國際局勢,到新冠疫情,過去三年「新常態」的衝擊,讓外部環境充斥著不確定性,也令這個時代的人們處於前...

天線原理(最專業最全面的精華)

天線原理(最專業最全面的精華)

‍ ‍說在前面 ‍‍‍1.寫作目的‍‍‍ 天線作為微波系統的重要組成部分,也應該成為每個通訊工程師完善基礎理論的重要一環,從公眾號創建之初,...

吊炸天的Web3,到底是個啥🤩

吊炸天的Web3,到底是個啥🤩

本文作者:衛劍釩丨原標題:《Hi,兄弟,Web3到底是怎麼回事》 致正在一知半解的朋友:本文的知識,你如果自己去摸索,可能需要半年、一年甚至...