2023 年 1 月中旬，隨著中國農(nóng)歷新年臨近，以比特幣、以太坊為代表的加密貨幣，在經(jīng)歷了幾個月的蟄伏期后，經(jīng)歷了一波「小漲」。連帶著因為 FTX「暴雷」而一蹶不振的 Web3 行業(yè)，重新煥發(fā)出一絲活力。

剛剛過去的 2022 年，對于 Web3 從業(yè)者來說是艱難的一年——從黑客攻擊、跨鏈橋失守，再到知名中心化交易所和投資機構相繼暴雷，整個 Web3 行業(yè)也被拖入熊市。

(資料圖)

從某種角度來看，安全問題，而不是「易用性」，已經(jīng)成為 Web3 行業(yè)最大的挑戰(zhàn)之一。

不久前，專門從事 Web3 安全的創(chuàng)業(yè)公司 CertiK 團隊，發(fā)布了 2022 年 Web3 安全報告。作為業(yè)內(nèi)少有的專門針對 Web3 行業(yè)提供安全解決方案的公司，CertiK 收到來自紅杉等知名機構的投資，目前估值已超過 20 億美元，成為新晉的 Web3 行業(yè)的獨角獸公司。

根據(jù)這份報告，整個 2022 年，黑客從 Web3 協(xié)議中盜取了價值 37.7 億美元的資產(chǎn)，這還不算 FTX、Terra 等中心化機構中暴雷，而讓用戶損失的上百億美元。

面對這樣的難題，Web3 創(chuàng)業(yè)團隊和公司，又該怎樣保障自己和用戶財產(chǎn)的安全？

下面是 CertiK 推出的 2022 Web3 安全報告正文，經(jīng)極客公園編輯整理。

欲閱讀完整報告，可點擊鏈接進行申請下載。

圖片來源：Pixabay

報告概述

2022 年對于整個數(shù)字資產(chǎn)行業(yè)來說是艱難的一年。在市場低迷的大環(huán)境下，65% 的數(shù)字資產(chǎn)市值化為烏有，而數(shù)量空前的黑客攻擊、詐騙事件和機構崩盤，讓本就損失慘重的投資者們雪上加霜。

從 2022 年 3 月 Ronin Bridge 被盜 6.24 億美元事件到 11 月 FTX 幾乎一夜崩塌，2022 年的損失規(guī)模創(chuàng)下了歷史之最。2022 年 Web3 協(xié)議的資產(chǎn)損失約為 37.7 億美元，遠遠超過 2021 年的 13 億美元紀錄。

本報告將深入探究導致 Celsius、BlockFi 以及 FTX 等中心化交易所潰敗的各種因素。作為這些迅速重蹈行業(yè)覆轍的中心化機構的替代品，Web3 和基于開源區(qū)塊鏈的去中心化金融應用將會發(fā)揮重要作用，但僅憑這一點就期望 Web3 走向大規(guī)模應用還不太現(xiàn)實。

雖然與 2022 年中心化領域的破產(chǎn)規(guī)模相比，去中心化世界的損失相對較小，但其總額也有數(shù)十億美元之多。整個 Web3 行業(yè)都需要對過去一年進行深刻反思，努力從這段艱難時期中尋求一線生機。

雖然不安全的協(xié)議仍在不斷造成損失，但這并不能否定 Web3 所具有的真正價值。如今，各類資產(chǎn)的估值普遍下降，人們的狂熱情緒也逐漸平息。由此我們可以退一步審視現(xiàn)狀，并在一個更加堅實的基礎上建設這個行業(yè)。

除了回顧 2022 年發(fā)生的主要黑客攻擊和漏洞事件外，本報告也將展示 CertiK 公開的獨家安全研究，以履行其守護 Web3 世界的使命。

「中心化」之殤

FTX「一夜崩塌」

2022 年以來，許多知名數(shù)字資產(chǎn)企業(yè)的消亡給整個行業(yè)都蒙上了陰影。雖然這些企業(yè)全都從事數(shù)字資產(chǎn)買賣、借貸和交易業(yè)務，但當我們?yōu)槠滟N上相同標簽之前，應該考慮一下，這些已然倒閉的企業(yè)是否真正可以被歸類為數(shù)字資產(chǎn)公司。

可以肯定的是，導致這些企業(yè)失敗的原因更多是源于他們的商業(yè)運營模式，而不是他們所管理的資產(chǎn)。

中心化數(shù)字資產(chǎn)企業(yè)（也被稱為 CeFi，意為「中心化金融」，與「去中心化金融」DeFi 相反）的致命缺陷就隱含在其名稱中：它們在具有單點控制的中心化系統(tǒng)上運行，而這恰恰引發(fā)了 2022 年我們所目睹的單點潰敗。

接下來的故事多少有些悲劇性的諷刺色彩。在 2022 年 2 月份的超級碗比賽期間（Super Bowl，美國國家橄欖球聯(lián)盟年度冠軍賽），F(xiàn)TX 曾向數(shù)百萬的觀眾推銷數(shù)字資產(chǎn)的概念，并聲稱數(shù)字資產(chǎn)是「下一個大事件」，并暗示不參與其中的人就像廣告中所扮演的傻瓜那樣會錯失一切。

然而，F(xiàn)TX 背地里卻將用戶的存款發(fā)送至該公司所謂的「非內(nèi)部」但實際為內(nèi)部的交易部門——Alameda，該部門很快就在投資上損失了數(shù)十億美元，這也嚴重違反了該交易所的服務條款。

關于 FTX 非流動性資產(chǎn)負債狀況的驚人消息很快不脛而走，典型的銀行擠兌事件也隨即爆發(fā)。如果一家交易所按 1:1 的比例保留存款資金，且不在未經(jīng)許可的情況下進行重新抵押或出借，那么它或許就能經(jīng)受住這次考驗。但 FTX 的情況并非如此。

FTX 前首席執(zhí)行官 Sam Bankman-Fried 曾策劃了一連串極其奢華的收購、贊助和救助活動，因此也令 FTX 的垮臺也更加令人難以置信。

比如另一家現(xiàn)已倒閉的 CeFi 公司 Voyager Digital 在申請破產(chǎn)后就宣布 FTX 成功收購了其資產(chǎn)，然而在 FTX 閃電式崩盤后只能再次申請破產(chǎn)，這些突如其來的事件全部發(fā)生在了 2022 年下半年。

FTX 「暴雷」讓 Web3 行業(yè)在熊市中雪上加霜｜The Block

FTX 和 Three Arrows Capital 等公司的倒閉確實打擊了許多大型投資機構，但受傷最嚴重的還是大量的普通散戶。鋪天蓋地的營銷、公眾人物代言和個人崇拜使他們將信任投放在了錯誤的平臺，并為此付出了慘痛代價。

之所以說受傷散戶的比例很高，是因為在 Voyager 平臺上，97% 的用戶資產(chǎn)都不到 1 萬美元。其中許多誤認為 CeFi 平臺更加安全的用戶，其資產(chǎn)現(xiàn)已蕩然無存。他們認為把資產(chǎn)存入 CeFi 平臺更加放心，收益也更高，同時避免了去中心化平臺的智能合約所帶來的高入門門檻以及各種風險。

雖然這些教訓讓人們非常痛苦，但其實也是必不可少的一課。數(shù)字資產(chǎn)的核心原則是自我監(jiān)管和自主權（Self-Custody and Self-Sovereignty），所以將用戶的資產(chǎn)控制權交給中心化平臺也就違背了以上原則。這些平臺完全有可能不遵守其服務條款，而你也無從得知你的資產(chǎn)正被平臺如何利用。

此外，你無法驗證平臺的財務健康狀況，也不能追蹤資產(chǎn)的流向來了解字面上的收益來源，以及所要承擔的風險，一切都只是建立在用戶的盲目信任和信念之上，而 2022 年所發(fā)生的事件也證明了其結果：看似安然無恙的開端，最終卻墜入了滿目瘡痍的結局。

Terra 崩盤

2022 年影響最大的事件之一是 Terra 的崩盤，其 450 億美元的市值在幾天內(nèi)化為泡影。

與 Tether、USDC 和 BUSD 等穩(wěn)定幣不同，算法穩(wěn)定幣并非依靠與美元 1:1 的錨定比率來維持穩(wěn)定，而是通過其內(nèi)部機制來維持貨幣錨定。具體來說，算法穩(wěn)定幣通過智能合約設定的鑄幣及銷毀功能來維持其基本價值。

以 Terra 的 UST 穩(wěn)定幣為例，UST 與另一項獨立的數(shù)字資產(chǎn) Luna 掛鉤，UST 的持有者隨時可以把他們的資產(chǎn)兌換成等值的 LUNA。在 5 月初，LUNA 的交易價格為 85 美元，此時一個 UST 穩(wěn)定幣可以交易 0.0118 枚 LUNA。

假如 UST 的交易價格跌破其設定的 1 美元門檻，做市商們隨即會把大量 UST 兌換為 LUNA 以縮小二者間的價值缺口。其原理是在降低 UST 供應量的同時，提升對 LUNA 的需求，也就是通過提高支持該穩(wěn)定幣儲備資產(chǎn)的價格，來維持貨幣錨定的穩(wěn)定。

5 月 7 日，鏈上分析顯示 UST 被大量拋售，8500 萬的 UST 被兌換成了 8450 萬 USDC，這直接導致了 UST 首次脫鉤美元。受此影響，5 月 8 日 UST 的價格跌至 0.985 美元的低點。

為了讓 UST 重新錨定美元，Luna Foundation Guard（LFG）部署了價值 7.5 億美元的比特幣，以協(xié)助做市商們維持 UST 價格的穩(wěn)定。在市場環(huán)境恢復正常后，LFG 又回購了價值 7.5 億美元的比特幣。

Terra 和 LUNA 之間的機制在危機面前迅速崩潰｜Bitnovo

然而令人意想不到的是，5 月 9 日 UST 的價格竟然跌至 0.65 美元的更低點。UST 的再次脫鉤隨之引發(fā)了 LUNA 的價格震動，其價格驟跌至 35 美元，跌幅超過 44%，而這又使得 LUNA 與 UST 之間的市值脫鉤，從而危及其作為穩(wěn)定儲備資產(chǎn)的功能。因為此時的 LUNA 生態(tài)系統(tǒng)已經(jīng)沒有足夠的價值來抵押所有正在流通的 UST 了。

從這時開始，LUNA 和 UST 之間的微妙平衡開始瓦解。

然而禍不單行，Terra 創(chuàng)建者 Terraform Labs 的首席執(zhí)行官 Do Kwon 被曝是此前失敗的算法穩(wěn)定幣 Basis Cash 背后的匿名聯(lián)合創(chuàng)始人之一。有指控稱，在經(jīng)歷了價值脫鉤和數(shù)十億美元的損失后，Do Kwon 挪用了價值約 6700 萬美元的比特幣，卻并未將其用于維護貨幣錨定。韓國檢察官已對 Do Kwon"s 發(fā)出逮捕令，但其目前仍然在逃。

Terra/LUNA 的這次歷史性的崩盤讓整個區(qū)塊鏈生態(tài)系統(tǒng)措手不及，從業(yè)者們和用戶不得不停下來思考此次事件對 Web3 的未來產(chǎn)生的深刻影響。

去中心化是答案嗎？

相對于中心化平臺，而 Aave 等 DeFi 平臺的持續(xù)成功，為去中心化商業(yè)模式提供了正面的素材支持。用戶可以實時驗證 Aave 的償還支付能力，了解儲戶賺取的收益來自哪里。而該平臺的清算過程，根本不允許出現(xiàn)最終導致 Celsius 倒閉的風險。

與中心化金融平臺相比，DeFi 明顯具有多方面的優(yōu)勢。

不過為 Web3 提供動力的智能合約在某種程度上也不是無懈可擊的：DeFi 協(xié)議也有屬于自己的一系列風險，比如智能合約的編寫不規(guī)范會引入一系列的漏洞，而黑客們已經(jīng)發(fā)現(xiàn)并利用了這些漏洞，在 2022 年竊取了高達 30 多億美元的資金。

或許這就是 Web3 世界的意義：建立在開源區(qū)塊鏈上的去中心化應用，為不透明的中心化機構世界提供了強有力的替代，同樣也為具有眾所周知缺陷的金融運作方式提供了真正的替代。

使用過 Aave 的用戶可能知道，該平臺是無法違背其服務條款的，因為這些條款被寫入了管理其運作的智能合約，就如同一個準則被寫入了 DNA 一樣；在 Pancake Swap 平臺上交易的用戶也不需要擔心他們的資產(chǎn)控制權有可能被轉移給平臺，因為所有交易都在區(qū)塊鏈上被公開透明地執(zhí)行；雖然各種高收益率的 Yield 產(chǎn)品可能會使用戶承擔相當大的風險，但這也取決于 Yield 產(chǎn)品的特性和策略。無論如何用戶可以隨時看到他們資產(chǎn)的去向以及收益率的獲得方式，一切將公開透明。

去中心化金融 DeFi 比 CeFi 在機制上更可靠，但依然有安全挑戰(zhàn)｜BAP Solution

雖然以上所述確實給用戶帶來了更多的盡職調(diào)查負擔，但 Web3 模式相較中心化平臺還是有著不可比擬的優(yōu)勢，許多中心化金融（CeFi）的崩潰故事在去中心化的環(huán)境中根本不可能發(fā)生。

然而，Web3 在實現(xiàn)其全部潛力和被認為是 CeFi 的真正替代之前，還有一段路要走。

值得思考的是：為什么數(shù)以百萬計的用戶愿意將數(shù)十億美元「托付」給這些中心化組織？

或許是因為中心化組織提供了一個流程簡化的服務，并且消除了自我保管的風險。除此之外，他們也提供更大的流動性和更豐富的金融產(chǎn)品，并提供支持與服務平臺以便及時幫助用戶解決遇到的問題。最后，別忘了黑客僅 2022 年就利用去中心化協(xié)議的漏洞獲得了數(shù)十億美元的收益，這也是為什么更多人選擇相信中心化的平臺。

如果想要走的更遠，Web3 需要在兩個主要方面進行改進：可用性和安全性。

可用性：要了解如何使用某 DeFi 平臺，有時候甚至需要花上數(shù)小時去研究，而這僅僅還是資金投入之前。想要研究透徹多個平臺，甚至可能會花上幾天。

安全性：雖然 DeFi 在 2022 年的損失可能比 CeFi 少，但從 Web3 中流失的價值仍然有數(shù)十億美元。通過對 2022 年主要事件的總結，我們希望能夠喚起人們對 Web3 仍需改進的領域特別是安全方面的關注。只有重新致力于基本理想和回歸初心，我們才能建立一個完整的替代性產(chǎn)品，為每個人提供真正自由和公平的金融系統(tǒng)。

黑客兇猛

2022 年，針對跨鏈橋的攻擊事件共導致了 13 億美元的損失，這個數(shù)字占據(jù)了過去 12 個月總損失金額的 36%。僅其中三起事件就占據(jù)了整個跨鏈橋資產(chǎn)損失的 87%，這也凸顯了跨鏈橋攻擊會帶來的巨大風險。

跨鏈應用大多具有極其復雜的技術結構，同時也包含了各種攻擊載體。其復雜性能夠為其提供更廣泛的功能，但代價是會暴露更多的攻擊面。

Play-to-earn 最火的游戲 Axie Infinity 遭到了黑客攻擊｜Play to Earn

Ronin 損失 6.25 億美元

Ronin Bridge 事件可以說是 DeFi 領域有史以來最大的攻擊事件/漏洞。3 月 23 日，為 Web3 游戲 Axie Infinity 建立的側鏈被黑客攻擊，超過 173,600 枚 ETH 和 2,550 萬 USDC（總價值 6.25 億美元）受到損失。

Nomad 的報告顯示，黑客設法獲得了保護網(wǎng)絡的五個驗證節(jié)點私鑰，并且有證據(jù)表明攻擊者是黑客組織 Lazarus Group。該組織利用先進的魚叉式網(wǎng)絡釣魚攻擊來獲取私鑰，在榨干資產(chǎn)后，攻擊者通過 Tornado Cash 和中心化交易所（包括 FTX 和 Huobi）將贓款洗白。

Wormhole 損失 3.26 億美元

2 月 2 日，Wormhole Bridge 被黑客攻擊，損失了價值 3.26 億美元的資產(chǎn)。攻擊者通過注入假的 sysvar 賬戶來繞過驗證檢查，讓他們可以借此輸出惡意信息，并被 Bridge 接受。攻擊者通過調(diào)用帶有惡意信息的 complete_wrapped 函數(shù)，成功鑄造了 12 萬枚 WETH。

鑄幣兩分鐘后，攻擊者將 1 萬枚 ETH 橋接到以太坊區(qū)塊鏈上。大約 20 分鐘后，以太坊區(qū)塊鏈上又進行了 8 萬枚 ETH 的交易。截至 2022 年底，這些被盜資金仍存放在攻擊者的錢包。

Nomad 損失 1.9 億美元

8 月 1 日，Nomad Bridge 被利用，損失價值約 1.9 億美元。攻擊者利用了初始化過程中的一個漏洞——即部署合約時將合約參數(shù) committedRoot 初始化為零。這個漏洞可以使攻擊者繞過消息驗證，從而耗盡橋接合約中持有的 token。攻擊者只要在一條鏈上存入 ETH（比如 0.1 甚至 0.0001 枚 ETH），就可在另一條鏈上收到任意數(shù)量的 ETH。

而值得注意的是，由于攻擊流程很快就被公開了，而資金還在 Bridge 中，因此至少有 41 個錢包復制了這一攻擊流程。結果導致 Nomad Bridge 幾乎全軍覆沒，其總鎖倉價值（TVL）在幾分鐘內(nèi)從 1.9 億美元驟降至 1.2 萬美元。

大鱷和釣魚

Lazarus Group 一直是數(shù)字資產(chǎn)領域最持久、最有效的威脅者之一。除了讓他們凈賺 5 億多美元的 Ronin Bridge 漏洞外，這個黑客組織在 2022 年還進行了多次有利可圖的攻擊。最值得關注的是 Operation In(ter)ception，Gate.io 漏洞，和 Harmony Horizon Bridge 攻擊。

In(ter)ception 行動是一個由 Lazarus Group 實施的求職欺詐廣告計劃，Lazarus 在 LinkedIn 等網(wǎng)站上發(fā)布工作機會，要求申請者下載一個部署有可執(zhí)行文件的 PDF 文件，然后這個惡意軟件使 Lazarus 的操作人員能夠針對受害者系統(tǒng)中的漏洞，竊取業(yè)內(nèi)員工的敏感信息。

Lazarus Group 的活動反面襯托了 Web3 行業(yè)中構建和運營時安全的重要性。而 DeFi 平臺想要足夠安全，不僅要能抵御來自無良 Solidity 開發(fā)者的攻擊，同時還能抵御來自世界上最有效的黑客的攻擊。否則，持有數(shù)億美元用戶資金的智能合約將繼續(xù)成為攻擊目標。

另一方面，網(wǎng)絡釣魚攻擊仍是 Web 3 領域的持續(xù)威脅，而且欺詐者們的騙術也隨著道高一尺魔高一丈而變得越來越高超精湛。目前已有數(shù)百萬美元價值的資產(chǎn)因為網(wǎng)絡釣魚而被盜。不僅是社群，個人用戶也成為了惡意軟件和惡意者的目標。新型網(wǎng)絡釣魚方式層出不窮，而他們的詐騙行為均是利用了區(qū)塊鏈的不可逆性以及用戶的經(jīng)驗缺乏。

比如最近新出的一種網(wǎng)絡釣魚方式，被稱為 Ice Phishing 騙局，通俗一點理解就是空手套白狼。

它與傳統(tǒng)網(wǎng)絡釣魚攻擊不同，是 Web3 獨有的攻擊類型。傳統(tǒng)網(wǎng)絡釣魚通常會通過一些手段獲得如私鑰或密碼等個人信息，而 Ice Phishing 則更多是為了欺騙用戶簽署權限，并授予惡意者任意花費其資產(chǎn)，但又無需獲取用戶的私鑰。

Ice Phishing 對 Web3 的投資者來說是相當大的威脅，因為與 DeFi 協(xié)議的互動需要用戶授予某些權限，而簽名到底授予了哪些權限人們并不總是百分之百清楚。

圖片來源：InfoSec

Web3 壓力測試

2022 年，數(shù)字貨幣的市值損失了數(shù)萬億美元，數(shù)百億美元被封鎖在中心化機構已破產(chǎn)的程序中，而去中心化的協(xié)議損失了 30 多億美元，因此 2022 年的美好景象已很難描繪而出。

由于形勢的極端動蕩，許多 Web3 頭部大型參與者已經(jīng)消失在歷史中，這包括了那些我們曾經(jīng)以為無懈可擊的項目或平臺。不過幸存的大多數(shù) Web3 應用程序和平臺仍在危機中緩緩前進，目前來看一切尚還維持著常態(tài)。

過去的 12 個月對整個行業(yè)都是一個重大的壓力測試，并不是所有的人都挺過來了。但是「殺不死你的會讓你變得更強大」，幸存者將吸取往日的教訓，搏出更具潛力的前景。

開源、去中心化的系統(tǒng)為用戶提供了真正的好處，可以使互聯(lián)網(wǎng)成為一個更自由、更公平的地方，這是在建設數(shù)字未來時要牢記的愿景。但是，當你的資產(chǎn)可能在頃刻之間被盜時，公平和自由就毫無意義可言了。這就是為什么安全是至關重要的因素。而 CertiK 端到端的安全解決方案，為用戶和建設者提供了他們需要的工具，使得用戶可以安全地瀏覽新興的 Web3 世界。

安全是一種選擇，為了將 Web3 的優(yōu)勢帶給最廣泛的用戶群體，我們無疑需要做出這種選擇。

2022 年是艱難的一年，但艱難的時刻已經(jīng)過去?，F(xiàn)在正是時候以全新且樂觀的態(tài)度展望行業(yè)的未來。

關鍵詞：