รายงานประจำปีของ CertiK: เหตุการณ์ใหญ่เกิดขึ้นทีละเหตุการณ์ ในอีก 23 ปีข้างหน้าจะเป็นอย่างไร
ปี 2565 จะเป็นปีที่ยากลำบากสำหรับอุตสาหกรรมสินทรัพย์ดิจิทัลทั้งหมด ในสภาพแวดล้อมทั่วไปของภาวะตลาดตกต่ำ 65% ของมูลค่าตลาดของสินทรัพย์ดิจิทัลได้หายไป และการโจมตีด้วยแฮ็ก การฉ้อโกง และการล่มสลายของสถาบันจำนวนมากเป็นประวัติการณ์ ทำให้นักลงทุนที่ประสบความสูญเสียอย่างหนักยิ่งแย่ลงไปอีก
ตั้งแต่การโจรกรรมสะพาน Ronin มูลค่า 624 ล้านดอลลาร์ในเดือนมีนาคมปีนี้ จนถึงการพังทลายของ FTX เกือบชั่วข้ามคืนในเดือนพฤศจิกายน ระดับความสูญเสียในปี 2565 แตะระดับที่ใหญ่ที่สุดในประวัติศาสตร์ การสูญเสียสินทรัพย์ในปีนี้อยู่ที่ประมาณ 3.77 พันล้านดอลลาร์ ซึ่งดีกว่า 1.3 พันล้านดอลลาร์ที่บันทึกไว้ในปี 2564
รายงานนี้จะเจาะลึกถึงปัจจัยต่างๆ ที่ส่งผลให้การแลกเปลี่ยนแบบรวมศูนย์ล่มสลาย เช่น เซลเซียส, BlockFi และ FTX Web3.0 และแอปพลิเคชันทางการเงินแบบกระจายอำนาจที่ใช้บล็อกเชนแบบโอเพ่นซอร์สจะมีบทบาทสำคัญในการเป็นทางเลือกแทนสถาบันแบบรวมศูนย์เหล่านี้ ซึ่งกำลังทำซ้ำข้อผิดพลาดของอุตสาหกรรมอย่างรวดเร็ว แต่เพียงอย่างเดียวน่าจะนำไปสู่การยอมรับ Web3.0 ในวงกว้าง ยังไม่เป็นจริงมากนัก แม้ว่าการสูญเสียในโลกที่มีการกระจายอำนาจจะค่อนข้างเล็กเมื่อเทียบกับขนาดของการล้มละลายในพื้นที่ส่วนกลางในปีนี้ แต่ก็มีมูลค่ารวมหลายพันล้านดอลลาร์ อุตสาหกรรม Web3.0 ทั้งหมดจำเป็นต้องไตร่ตรองอย่างลึกซึ้งเกี่ยวกับปีที่ผ่านมา และพยายามหาทางรอดจากช่วงเวลาที่ยากลำบากนี้
แม้ว่าโปรโตคอลที่ไม่ปลอดภัยจะยังคงใช้งานได้ แต่นั่นไม่ได้ลบล้างคุณค่าที่แท้จริงของ Web 3.0 ทุกวันนี้ การประเมินมูลค่าของสินทรัพย์ทุกประเภทมักจะลดลง และความกระตือรือร้นของผู้คนก็ค่อยๆ ลดลง สิ่งนี้ช่วยให้เราสามารถย้อนกลับไปดูสถานะที่เป็นอยู่ และสร้างอุตสาหกรรมบนรากฐานที่มั่นคงยิ่งขึ้น
ชื่อระดับแรก
สรุปความปลอดภัยของอุตสาหกรรมปี 2022
① ในปี 2565 แฮ็กเกอร์ขโมยทรัพย์สินมูลค่าประมาณ 3.77 พันล้านดอลลาร์จากโปรโตคอล Web3.0
② ตัวเลขนี้เพิ่มขึ้น 189% จากการสูญเสีย 1.3 พันล้านดอลลาร์ในปี 2564
③ ในปี 2565 จะมีการหลอกลวงทางออก 316 ครั้ง โดยมีมูลค่ารวมประมาณ 210 ล้านดอลลาร์สหรัฐที่ถูกขโมยไป และเหตุการณ์สินเชื่อแฟลช 102 ครั้งและการจัดการเครื่องออราเคิล ส่งผลให้เกิดการสูญเสียทั้งหมดประมาณ 360 ล้านดอลลาร์สหรัฐ
④ ช่องโหว่ของสะพานข้ามโซ่เพียง 9 แห่งคิดเป็นมูลค่ามากกว่า 1 ใน 3 ของมูลค่าที่เสียไปทั้งหมด และแฮ็กเกอร์ขโมยเงินรวมประมาณ 1.35 พันล้านดอลลาร์จากการโจมตีสะพานข้ามโซ่
⑤ แม้จะเป็นปีแห่งตลาดหมี แต่จำนวนโครงการที่ได้รับการตรวจสอบโดย CertiK ยังคงเติบโตอย่างต่อเนื่อง จนถึงปัจจุบัน CertiK ได้เสร็จสิ้นการตรวจสอบทั้งหมด 5,046 โครงการสำหรับ Web3.0 ซึ่งแสดงถึงจำนวนการตรวจสอบทั้งหมดที่เพิ่มขึ้น 73% เมื่อเทียบกับสิ้นปีที่แล้ว
ชื่อระดับแรก
แพลตฟอร์มแบบรวมศูนย์อาจกลายเป็นเรื่องยากที่จะกระทบยอดความขัดแย้ง
ตั้งแต่ต้นปีนี้ การล้มหายตายจากของบริษัทสินทรัพย์ดิจิทัลที่มีชื่อเสียงหลายแห่งได้บดบังอุตสาหกรรมทั้งหมด แม้ว่าธุรกิจเหล่านี้ล้วนอยู่ในธุรกิจการซื้อ ขาย ให้ยืม และซื้อขายสินทรัพย์ดิจิทัล ก่อนที่เราจะตั้งชื่อให้เหมือนกัน เราควรพิจารณาว่าธุรกิจที่เลิกใช้แล้วเหล่านี้สามารถจัดประเภทเป็นบริษัทสินทรัพย์ดิจิทัลได้จริงหรือไม่
แน่นอน ความล้มเหลวของธุรกิจเหล่านี้เกี่ยวข้องกับรูปแบบการดำเนินธุรกิจมากกว่าสินทรัพย์ที่พวกเขาจัดการ ข้อบกพร่องร้ายแรงของธุรกิจสินทรัพย์ดิจิทัลแบบรวมศูนย์ (หรือที่เรียกว่า CeFi ซึ่งหมายถึง "การเงินแบบรวมศูนย์" ตรงข้ามกับ "การเงินแบบกระจายอำนาจ" DeFi) นั้นปรากฏอยู่ในชื่อของพวกเขา: พวกเขาทำงานบนแพลตฟอร์มแบบรวมศูนย์ที่มีจุดควบคุมเพียงจุดเดียวของระบบ ซึ่งทำให้เกิดความล้มเหลวเพียงจุดเดียวที่เราได้เห็นในปีนี้
สิ่งต่อไปนี้ค่อนข้างน่าเศร้าแดกดัน ในช่วง Super Bowl ในเดือนกุมภาพันธ์ปีนี้ (Super Bowl เกมชิงแชมป์ประจำปีของ National Football League) FTX ได้ส่งเสริมแนวคิดของสินทรัพย์ดิจิทัลต่อผู้ชมหลายล้านคน โดยอ้างว่าสินทรัพย์ดิจิทัลเป็น "สิ่งที่ยิ่งใหญ่ต่อไป" และบอกเป็นนัยว่า พวกเขาจะไม่เข้าร่วม คนในนั้นเหมือนคนโง่ในโฆษณาที่พลาดทุกอย่าง
อย่างไรก็ตาม FTX แอบส่งเงินฝากของผู้ใช้ไปยังแผนกที่เรียกว่า "ไม่ใช่ภายใน" ของบริษัท แต่จริงๆ แล้วเป็นแผนกการค้าภายใน - Alameda ซึ่งสูญเสียเงินลงทุนไปหลายพันล้านดอลลาร์อย่างรวดเร็ว ซึ่งเป็นการละเมิดเงื่อนไขการให้บริการของการแลกเปลี่ยนอย่างร้ายแรง
ข่าวที่น่าตกใจเกี่ยวกับงบดุลที่มีสภาพคล่องต่ำของ FTX แพร่กระจายอย่างรวดเร็ว และการดำเนินการของธนาคารโดยทั่วไปก็เกิดขึ้น หากการแลกเปลี่ยนคงเงินฝากไว้ที่ 1:1 และไม่ตั้งสมมุติฐานใหม่หรือให้ยืมโดยไม่ได้รับอนุญาต ก็อาจรอดจากการทดสอบนี้ได้ แต่นั่นไม่ใช่กรณีของ FTX
Sam Bankman-Fried อดีต CEO ของ FTX เป็นผู้ควบคุมการซื้อกิจการ การสนับสนุน และเงินช่วยเหลือที่ฟุ่มเฟือย ทำให้ FTX ตกต่ำลงอย่างไม่น่าเชื่อ ตัวอย่างเช่น บริษัท Voyager Digital ซึ่งเป็นบริษัท CeFi อีกแห่งที่ปิดกิจการไปแล้ว ประกาศว่า FTX ได้รับสินทรัพย์สำเร็จหลังจากยื่นฟ้องล้มละลาย อย่างไรก็ตาม หลังจาก FTX ล่ม ทำให้ FTX ต้องยื่นขอล้มละลายอีกครั้ง เหตุการณ์กะทันหันเหล่านี้ทั้งหมดเกิดขึ้นในครึ่งหลัง ของปี 2022
การล่มสลายของบริษัทต่างๆ เช่น FTX และ Three Arrows Capital ได้ส่งผลกระทบต่อสถาบันการลงทุนขนาดใหญ่หลายแห่ง แต่นักลงทุนรายย่อยทั่วไปจำนวนมากที่ได้รับผลกระทบมากที่สุด การตลาดที่ท่วมท้น การรับรอง และลัทธิบุคลิกภาพทำให้พวกเขาหมดความมั่นใจในแพลตฟอร์มที่ไม่ถูกต้องและยอมจ่ายแพงเพื่อสิ่งนี้
เหตุผลที่สัดส่วนของนักลงทุนรายย่อยที่ได้รับบาดเจ็บสูงคือบนแพลตฟอร์ม Voyager ผู้ใช้ 97% มีทรัพย์สินน้อยกว่า 10,000 ดอลลาร์ ผู้ใช้หลายคนที่เข้าใจผิดว่าแพลตฟอร์ม CeFi ปลอดภัยกว่าได้สูญเสียทรัพย์สินไปแล้ว พวกเขาเชื่อว่าการฝากสินทรัพย์บนแพลตฟอร์ม CeFi นั้นปลอดภัยกว่าและให้ผลตอบแทนสูงกว่า ในขณะที่หลีกเลี่ยงอุปสรรคในการเข้าสูงและความเสี่ยงต่างๆ ที่เกิดจากสัญญาอัจฉริยะบนแพลตฟอร์มแบบกระจายอำนาจ
แม้ว่าบทเรียนเหล่านี้จะเจ็บปวดมากสำหรับผู้คน แต่ก็เป็นบทเรียนที่สำคัญจริงๆ หลักการสำคัญของสินทรัพย์ดิจิทัลคือการดูแลตนเองและอำนาจอธิปไตยในตนเอง (การดูแลตนเองและอำนาจอธิปไตยในตนเอง) ดังนั้นการส่งต่อการควบคุมทรัพย์สินของผู้ใช้ไปยังแพลตฟอร์มส่วนกลางจึงเป็นการละเมิดหลักการข้างต้น
ชื่อระดับแรก
เหตุการณ์ Terra Crash
หนึ่งในกิจกรรมที่ยิ่งใหญ่ที่สุดแห่งปีคือความผิดพลาดของ Terraมูลค่าตามราคาตลาด 45 พันล้านดอลลาร์หายไปในเวลาไม่กี่วัน
ซึ่งแตกต่างจาก Stablecoin เช่น Tether, USDC และ BUSD อัลกอริทึม Stablecoins จะไม่พึ่งพาการตรึง 1:1 กับดอลลาร์สหรัฐเพื่อรักษาเสถียรภาพ แต่แทนที่จะรักษาการตรึงสกุลเงินผ่านกลไกภายใน โดยเฉพาะอย่างยิ่ง สกุลเงินที่มีเสถียรภาพตามอัลกอริธึมจะรักษามูลค่าพื้นฐานผ่านฟังก์ชันการสร้างเหรียญและการเผาไหม้ที่กำหนดโดยสัญญาอัจฉริยะ
ยกตัวอย่างเหรียญ Stablecoin UST ของ Terra โดย UST ถูกผูกไว้กับสินทรัพย์ดิจิทัลอิสระอื่นอย่าง Luna ผู้ถือครอง UST สามารถแลกเปลี่ยนสินทรัพย์ของตนเป็น LUNA ที่เทียบเท่าได้ทุกเมื่อ เมื่อต้นเดือนพฤษภาคม LUNA ซื้อขายที่ 85 ดอลลาร์ ณ จุดนั้น UST หนึ่งเหรียญสามารถซื้อขายได้ในราคา 0.0118 LUNA
หากราคาซื้อขายของ UST ต่ำกว่าเกณฑ์ที่ตั้งไว้ $1 ผู้ดูแลสภาพคล่องจะแปลง UST จำนวนมากเป็น LUNA ทันทีเพื่อปิดช่องว่างของมูลค่าระหว่างทั้งสอง หลักการคือการเพิ่มอุปสงค์สำหรับ LUNA ในขณะที่ลดอุปทานของ UST นั่นคือเพื่อรักษาเสถียรภาพของสมอสกุลเงินโดยการเพิ่มราคาของสินทรัพย์สำรอง Stablecoin
เมื่อวันที่ 7 พฤษภาคม การวิเคราะห์แบบ on-chain แสดงให้เห็นว่า UST ถูกขายในปริมาณมาก และ 85 ล้าน UST ถูกแลกเปลี่ยนเป็น 84.5 ล้าน USDC ซึ่งนำไปสู่การแยก UST จากดอลลาร์สหรัฐโดยตรงเป็นครั้งแรก ได้รับผลกระทบจากสิ่งนี้ ราคาของ UST ลดลงสู่ระดับต่ำสุดที่ 0.985 ดอลลาร์ในวันที่ 8 พฤษภาคม
ในการตรึง UST ให้เป็นดอลลาร์สหรัฐอีกครั้ง Luna Foundation Guard (LFG) ได้ปรับใช้ Bitcoin มูลค่า 750 ล้านดอลลาร์เพื่อช่วยเหลือผู้ดูแลสภาพคล่องในการรักษาเสถียรภาพของราคา UST LFG ซื้อคืน bitcoin มูลค่า 750 ล้านดอลลาร์หลังจากสภาวะตลาดกลับสู่ภาวะปกติ
อย่างไรก็ตาม โดยไม่คาดคิด ราคาของ UST ตกลงสู่ระดับต่ำสุดที่ 0.65 ดอลลาร์ในวันที่ 9 พฤษภาคม การแยก UST อีกครั้งทำให้เกิดความตื่นตะลึงในราคาของ LUNA ซึ่งร่วงลงมาที่ 35 ดอลลาร์ ลดลงมากกว่า 44% ซึ่งส่งผลให้มูลค่าตลาดระหว่าง LUNA และ UST ลดลง ส่งผลเสียต่อการทำหน้าที่เป็นสินทรัพย์สำรองที่มั่นคง เนื่องจากระบบนิเวศของ LUNA ในขณะนี้ไม่มีค่าเพียงพอที่จะจำนอง UST ที่หมุนเวียนทั้งหมด
จากจุดนี้ไป ความสมดุลที่ละเอียดอ่อนระหว่าง LUNA และ UST เริ่มคลี่คลาย อย่างไรก็ตาม ความโชคร้ายไม่เคยเกิดขึ้นเพียงลำพัง เนื่องจาก Do Kwon ซีอีโอ Terraform Labs ผู้สร้าง Terra ได้รับการเปิดเผยว่าเป็นหนึ่งในผู้ร่วมก่อตั้งที่ไม่ระบุตัวตนที่อยู่เบื้องหลัง Basis Cash เหรียญเสถียรอัลกอริธึมที่ล้มเหลวก่อนหน้านี้ Do Kwon ได้ยักยอกเงิน bitcoin มูลค่า 67 ล้านดอลลาร์ไปใช้ในทางที่ผิดโดยไม่ใช้มันเพื่อรักษาหมุดของสกุลเงิน หลังจากการลดลงของมูลค่าและการสูญเสียหลายพันล้านดอลลาร์ ตามข้อกล่าวหา อัยการเกาหลีใต้ได้ออกหมายจับโดควอนแล้ว แต่ตัวเขาก็ยังลอยนวลอยู่
ชื่อระดับแรก
วิกฤตยังคงลุกลาม
เซลเซียส แพลตฟอร์มแบบรวมศูนย์ที่ช่วยให้ผู้ใช้สามารถฝากสินทรัพย์เพื่อรับผลตอบแทน ซึ่งครั้งหนึ่งเคยถือครองมากกว่า 500 ล้านดอลลาร์ในระบบนิเวศของ Terra ก่อนที่เซลเซียสจะล่มสลาย ก็อ้างว่าได้ถอนทรัพย์สินทั้งหมดออกไปแล้ว แต่หนึ่งเดือนต่อมา บริษัทประกาศว่าจะระงับเงินฝากและฟ้องล้มละลาย
ผู้ใช้เซลเซียสจะไม่มีทางรู้แหล่งที่มาของรายได้ที่พวกเขาได้รับ และพวกเขาจะไม่รู้ถึงความเสี่ยงที่พวกเขากำลังเผชิญอยู่
เซลเซียสยังใช้แพลตฟอร์มแบบกระจายศูนย์เพื่อชำระหนี้จำนวนมากเพื่อพยายามกอบกู้สภาพคล่องที่เหลืออยู่ ซึ่งพิสูจน์ให้เห็นถึงพลังของ DeFi จากด้านข้าง: กิจกรรมออนไลน์ทั้งหมดจะปรากฏต่อสาธารณะ ซึ่งเหมือนกับเซลเซียสสำหรับ การลงทุน สิ่งนี้แตกต่างอย่างมากกับหนี้สินที่ปกปิดไว้ของทั้งผู้ให้กู้และเจ้าหนี้
เพื่อเพิ่มการดูถูกความเสียหาย ต่อมา Celsius ได้เปิดเผยชื่อ ยอดคงเหลือ และประวัติการทำธุรกรรมของผู้ใช้หลายพันคนต่อสาธารณะในการยื่นฟ้องต่อศาล เพื่อแสดงให้เห็นถึงข้อได้เปรียบด้านความเป็นส่วนตัวของแพลตฟอร์มการเงินแบบกระจายศูนย์ที่ไม่เปิดเผยตัวตน นี่เป็นพฤติกรรมที่ขาดความรับผิดชอบและอันตรายอย่างยิ่ง
ความสำเร็จอย่างต่อเนื่องของแพลตฟอร์ม DeFi เช่น Aave ได้ให้การสนับสนุนวัสดุในเชิงบวกสำหรับรูปแบบธุรกิจแบบกระจายอำนาจ ผู้ใช้สามารถตรวจสอบความสามารถในการชำระคืนของ Aave ได้แบบเรียลไทม์ และทำความเข้าใจว่าผู้ฝากเงินได้รับรายได้จากที่ใด และกระบวนการชำระบัญชีของแพลตฟอร์มก็ไม่อนุญาตให้มีความเสี่ยงที่จะนำไปสู่การล่มสลายของเซลเซียสในที่สุด
เมื่อเทียบกับแพลตฟอร์มการเงินแบบรวมศูนย์แล้ว DeFi มีข้อดีหลายอย่างอย่างเห็นได้ชัด อย่างไรก็ตาม สัญญาอัจฉริยะที่ขับเคลื่อน Web 3.0 นั้นไม่ได้ถูกบุกรุกในระดับหนึ่ง: โปรโตคอล DeFi ก็มีความเสี่ยงในตัวเองเช่นกัน ตัวอย่างเช่น การเขียนสัญญาอัจฉริยะที่ไม่ได้มาตรฐานจะทำให้เกิดช่องโหว่ต่าง ๆ และแฮกเกอร์ก็ได้ค้นพบและใช้ประโยชน์ การละเมิดเหล่านี้ถูกใช้เพื่อขโมยเงินกว่า 3 พันล้านดอลลาร์ในปี 2565
ชื่อระดับแรก
โซลูชั่นเว็บ 3.0
บางทีนี่อาจเป็นสิ่งที่เกี่ยวกับโลกของ Web 3.0: แอปพลิเคชันแบบกระจายศูนย์ที่สร้างขึ้นบนบล็อกเชนแบบโอเพ่นซอร์สซึ่งเป็นทางเลือกที่ทรงพลังแทนโลกที่ทึบของสถาบันแบบรวมศูนย์ รวมถึงวิธีแก้ปัญหาที่แท้จริงสำหรับวิธีการทำงานของการเงินที่มีข้อบกพร่องอย่างฉาวโฉ่ แทนที่
ผู้ใช้ที่เคยใช้ Aave อาจทราบว่าแพลตฟอร์มไม่สามารถละเมิดข้อกำหนดในการให้บริการได้ เนื่องจากข้อกำหนดเหล่านี้เขียนไว้ในสัญญาอัจฉริยะที่ควบคุมการดำเนินงาน เช่นเดียวกับรหัสที่เขียนลงใน DNA ผู้ใช้ยังไม่จำเป็นต้องกังวลเกี่ยวกับ ความเป็นไปได้ที่การควบคุมสินทรัพย์ของพวกเขาจะถูกถ่ายโอนไปยังแพลตฟอร์ม เนื่องจากธุรกรรมทั้งหมดดำเนินการอย่างเปิดเผยและโปร่งใสบนบล็อกเชน แม้ว่าผลิตภัณฑ์ที่ให้ผลตอบแทนสูงต่างๆ อาจทำให้ผู้ใช้รับความเสี่ยง แต่ก็ขึ้นอยู่กับลักษณะและกลยุทธ์ของผลิตภัณฑ์ที่ให้ผลตอบแทนสูง ไม่ว่าในกรณีใด ผู้ใช้สามารถดูตำแหน่งของสินทรัพย์และวิธีรับผลตอบแทนได้ทุกเมื่อ และทุกอย่างจะเปิดเผยและโปร่งใส
แม้ว่าสิ่งที่กล่าวมาข้างต้นจะทำให้ผู้ใช้มีภาระในการตรวจสอบวิเคราะห์สถานะมากขึ้น แต่โมเดล Web 3.0 ก็ยังมีข้อได้เปรียบเหนือแพลตฟอร์มแบบรวมศูนย์อย่างหาที่เปรียบไม่ได้ เรื่องราวความผิดพลาดทางการเงินแบบรวมศูนย์ (CeFi) จำนวนมากอยู่ในสภาพแวดล้อมแบบกระจายอำนาจ ไม่มีทางที่มันจะเกิดขึ้น
อย่างไรก็ตาม Web 3.0 ยังมีหนทางที่ต้องดำเนินการก่อนที่จะสามารถใช้งานศักยภาพได้เต็มที่และได้รับการพิจารณาให้เข้ามาแทนที่ CeFi อย่างแท้จริง
เป็นเรื่องที่ควรคิดว่าทำไมผู้ใช้หลายล้านคนจึงเต็มใจ "มอบความไว้วางใจ" เงินหลายพันล้านดอลลาร์ให้กับองค์กรที่รวมศูนย์เหล่านี้
อาจเป็นเพราะองค์กรส่วนกลางให้บริการที่ทำให้กระบวนการง่ายขึ้นและลดความเสี่ยงในการดูแลตนเอง นอกจากนี้ พวกเขายังให้สภาพคล่องที่มากขึ้นและผลิตภัณฑ์ทางการเงินที่สมบูรณ์ยิ่งขึ้น และให้การสนับสนุนและแพลตฟอร์มบริการเพื่อช่วยให้ผู้ใช้แก้ปัญหาได้อย่างทันท่วงที สุดท้าย อย่าลืมว่าแฮ็กเกอร์ใช้ช่องโหว่ของโปรโตคอลแบบกระจายอำนาจเพื่อสร้างรายได้หลายพันล้านดอลลาร์ในปี 2565 เพียงปีเดียว ซึ่งเป็นสาเหตุที่ผู้คนจำนวนมากเลือกที่จะเชื่อในแพลตฟอร์มแบบรวมศูนย์
เพื่อไปให้ไกล Web 3.0 จำเป็นต้องปรับปรุงในสองส่วนหลัก: ความสามารถในการใช้งานและความปลอดภัย
ความสามารถในการใช้งาน: เพื่อให้เข้าใจถึงวิธีการใช้แพลตฟอร์ม DeFi บางครั้งอาจต้องใช้เวลาหลายชั่วโมงในการวิจัย และขั้นตอนนี้จะเกิดขึ้นก่อนที่จะมีการลงทุนเท่านั้น อาจใช้เวลาหลายวันในการวิจัยหลาย ๆ แพลตฟอร์มอย่างละเอียด
ชื่อระดับแรก
เหตุการณ์ถล่มสะพานข้ามแยก
ในปี 2565 การโจมตีสะพานข้ามโซ่ทำให้เกิดความสูญเสียรวม 1.3 พันล้านดอลลาร์ ซึ่งคิดเป็น 36% ของการสูญเสียทั้งหมดในช่วง 12 เดือนที่ผ่านมา เหตุการณ์เพียง 3 เหตุการณ์เหล่านี้คิดเป็น 87% ของการสูญเสียสินทรัพย์ของสะพานข้ามโซ่ทั้งหมด ซึ่งยังเน้นย้ำถึงความเสี่ยงอย่างมากที่การโจมตีสะพานข้ามโซ่ก่อให้เกิด
แอปพลิเคชันข้ามสายโซ่ส่วนใหญ่มีโครงสร้างทางเทคนิคที่ซับซ้อนมาก และยังมีเวกเตอร์การโจมตีที่หลากหลาย ความซับซ้อนของมันช่วยให้สามารถมอบความสามารถที่หลากหลายมากขึ้น แต่ก็ต้องแลกกับการเปิดเผยพื้นผิวการโจมตีที่มากขึ้น
💣 โรนินเสียเงินไป 625 ล้านดอลลาร์
เหตุการณ์สะพานโรนินอาจกล่าวได้ว่าเป็นเหตุการณ์การโจมตี/ช่องโหว่ที่ใหญ่ที่สุดในประวัติศาสตร์ของฟิลด์ DeFi เมื่อวันที่ 23 มีนาคม ไซด์เชนที่สร้างขึ้นสำหรับเกม Web 3.0 Axie Infinity ถูกแฮ็ก สูญเสียเงินกว่า 173,600 ETH และ 25.5 ล้าน USDC (มูลค่ารวม 625 ล้านดอลลาร์)
ตามรายงานของ Nomad แฮ็กเกอร์จัดการเพื่อให้ได้คีย์ส่วนตัวของโหนดตรวจสอบความถูกต้องห้าโหนดที่รักษาความปลอดภัยเครือข่าย และมีหลักฐานว่าผู้โจมตีคือกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือ Lazarus Group กลุ่มดังกล่าวใช้การโจมตีด้วยสเปียร์ฟิชชิ่งขั้นสูงเพื่อรับคีย์ส่วนตัว และหลังจากระบายทรัพย์สินแล้ว ผู้โจมตีก็ฟอกเงินที่ถูกขโมยผ่าน Tornado Cash และการแลกเปลี่ยนแบบรวมศูนย์ รวมถึง FTX และ Huobi
💣 Wormhole สูญเงินไป 326 ล้านเหรียญ
เมื่อวันที่ 2 กุมภาพันธ์ Wormhole Bridge ถูกแฮ็กและสูญเสียทรัพย์สินมูลค่า 326 ล้านดอลลาร์ ผู้โจมตีข้ามการตรวจสอบการพิสูจน์ตัวตนโดยการแทรกบัญชี sysvar ปลอม ทำให้พวกเขาส่งข้อความที่เป็นอันตรายซึ่งได้รับการยอมรับจาก Bridge ผู้โจมตีประสบความสำเร็จในการขุด 120,000 WETH โดยการเรียกใช้ฟังก์ชัน Complete_wrapped พร้อมข้อมูลที่เป็นอันตราย สองนาทีหลังจากสร้างเหรียญ ผู้โจมตีได้เชื่อมโยง 10,000 ETH ไปยัง Ethereum blockchain ประมาณ 20 นาทีต่อมา มีการทำธุรกรรมอีก 80,000 ETH บน Ethereum blockchain ภายในสิ้นปี 2565 เงินที่ถูกขโมยเหล่านี้จะยังคงอยู่ในกระเป๋าสตางค์ของผู้โจมตี
💣Nomad สูญเสีย 190 ล้านดอลลาร์
วันที่ 1 สิงหาคมNomad Bridgeถูกเอารัดเอาเปรียบโดยมีมูลค่าความเสียหายประมาณ 190 ล้านดอลลาร์ ผู้โจมตีใช้ประโยชน์จากช่องโหว่ในกระบวนการเริ่มต้น นั่นคือ พารามิเตอร์สัญญา commitRoot จะถูกเริ่มต้นเป็นศูนย์เมื่อปรับใช้สัญญา ช่องโหว่นี้อาจทำให้ผู้โจมตีข้ามการตรวจสอบข้อความได้ ซึ่งจะทำให้โทเค็นที่มีอยู่ในสัญญาบริดจ์หมดลง ตราบใดที่ผู้โจมตีฝาก ETH (เช่น 0.1 หรือแม้แต่ 0.0001 ETH) ไว้ในเชนหนึ่ง เขาสามารถรับ ETH เท่าใดก็ได้ในอีกเชนหนึ่ง
ชื่อระดับแรก
ช่องโหว่หยาบคายและการรั่วไหลของคีย์ส่วนตัว
การโจมตีที่เกิดจากคีย์ส่วนตัวที่รั่วไหลอาจเป็นหนึ่งในเหตุการณ์ที่สร้างความเสียหายมากที่สุดในปี 2022: จำนวนเงินที่ถูกขโมยผ่านคีย์ส่วนตัวที่รั่วไหลนั้นเกิน 1 พันล้านดอลลาร์ในปี 2022 ซึ่งคิดเป็นเกือบหนึ่งในสามของการสูญเสียประจำปี ตัวเลขนี้แสดงถึงการเพิ่มขึ้นเมื่อเทียบกับปี 2021 เมื่อการเจาะคีย์ส่วนตัวมีค่าใช้จ่าย 892 ล้านดอลลาร์ เหตุการณ์ Ronin เป็นตัวอย่างทั่วไปของการแสวงประโยชน์ที่เป็นอันตรายเนื่องจากการรั่วไหลของคีย์ส่วนตัว
เมื่อผู้ประสงค์ร้ายได้รับรหัสส่วนตัวของกระเป๋าเงิน พวกเขาจะสามารถควบคุมทรัพย์สินทั้งหมดในกระเป๋าเงินได้อย่างเต็มที่ คีย์ส่วนตัวที่ถูกบุกรุกอาจเป็นผลมาจากตัวคีย์ไม่ได้รับการจัดการอย่างปลอดภัย อย่างไรก็ตาม เหตุการณ์ด้านความปลอดภัยที่ใหญ่ที่สุดของปีที่แล้วเกิดจากช่องโหว่เฉพาะในที่อยู่ Vanity ที่สร้างขึ้นโดยเครื่องมือ Profanity
ความหยาบคายคืออะไร?
ที่อยู่ Ethereum ส่วนใหญ่จะเริ่มต้นด้วย 0x และมีลักษณะเป็นสตริงสุ่มของอักขระเลขฐานสิบหก สิ่งนี้มีประโยชน์ในการให้ความเป็นส่วนตัวในระดับหนึ่ง แต่ก็ไม่ตอบสนองผู้ใช้ที่ต้องการที่อยู่เฉพาะ ที่อยู่ Vanity เป็นเหมือนป้ายทะเบียนหรือบัญชี QQ ซึ่งสามารถช่วยผู้ใช้สร้างคีย์สำหรับที่อยู่ที่มีคำหรือสตริงที่ระบุ
นอกจาก,Profanityนอกจากนี้ยังสามารถใช้เพื่อสร้างที่อยู่กระเป๋าเงินเพื่อเพิ่มประสิทธิภาพการจัดการค่าธรรมเนียม นอกจากนี้ ยังเป็นความตั้งใจดั้งเดิมของทีม Wintermute ในการสร้างที่อยู่ 0 x 00000000 AE 347...b 92280 f 9 e 75 แต่สุดท้ายก็นำไปสู่กระเป๋าเงิน ถูกแฮ็ก สตริงความยาว 0 วินาทีที่จุดเริ่มต้นช่วยลดความซับซ้อนของที่อยู่ ลดความต้องการพลังงานในการประมวลผลของเครือข่าย Ethereum และทำให้ค่าธรรมเนียมการทำธุรกรรมลดลงในระดับหนึ่ง จำนวนเงินเล็กน้อยรวมกันในการทำธุรกรรม
ในเดือนมกราคม 2022 ผู้ใช้ k 06 a เสนอปัญหาเกี่ยวกับวิธีการสร้างคีย์ส่วนตัวบน GitHub ของ Profanity (ซึ่งนักพัฒนาเลิกใช้มานานกว่าสามปี): ปัญหา: Profanity ใช้หมายเลขเมล็ด 32 บิตแบบสุ่มเพื่อสร้าง 256 บิต คีย์ส่วนตัวและเรียกร้องความสนใจเกี่ยวกับวิธีสร้างคีย์ส่วนตัว อย่างไรก็ตาม ดูเหมือนว่าความคิดเห็นนี้จะไม่ได้รับการแก้ไข
การบังคับรหัสผ่านหรือคีย์ส่วนตัวแบบดุร้ายนั้นคล้ายกับการใช้ฮาร์ดแวร์เพื่อลองชุดค่าผสมที่เป็นไปได้ทั้งหมด หากคุณมีกุญแจ 1,000 ดอกและแม่กุญแจ 1 ตัว คุณก็แค่ลองใช้ทีละปุ่มจนกว่าจะเจออันที่ถูกต้อง
ในเวลาเพียงสองวัน ช่องโหว่นี้ถูกโจมตีโดยแฮ็กเกอร์ในมุมมองแบบเต็ม: 0 x 6...b บัญชีกระเป๋าเงิน 93 บัญชีได้ล้างกระเป๋าเงิน Vanity หลายใบ รวมถึง 500 ETH จาก 0 x 0 Babe...B 05, 100 ETH ที่ 0 x 888888888 ...597, 104.4 ETH ที่ 0 x 000000...422 และทรัพย์สินอื่น ๆ อีกมากในกระเป๋าเงินอื่น ๆ ที่มีมูลค่ารวม 3.3 ล้านดอลลาร์
"ในทางทฤษฎี GPU 1,000 ตัวสามารถบังคับคีย์ส่วนตัวสำหรับที่อยู่ Vanity ทุก 7 คำที่สร้างขึ้นโดยใช้ Profanity ใน 50 วัน เมื่อใช้ Macbook M1 ที่มี RAM ขนาด 16 GB เราคำนวณชุดข้อมูลล่วงหน้า - ชุดข้อมูลนี้จำเป็นต้องคำนวณเพียงครั้งเดียว เพื่อใช้ที่อยู่อื่น กระบวนการจริง (ไม่นับการคำนวณล่วงหน้า) สำหรับที่อยู่ที่มีเลขศูนย์นำหน้า 7 ตัว จะใช้เวลาประมาณ 40 นาที เราทำจริง และแคร็กคีย์ส่วนตัวสำหรับ 0x0000000...99 b ในเวลาน้อยกว่า 48 ชั่วโมง "
—— Amber Group
ในโลกของการพัฒนาเทคโนโลยี Web 3.0 ที่เปลี่ยนแปลงอย่างรวดเร็วใช้เวลาเพียงสองวันในการใช้ช่องโหว่นี้เพื่อเจาะเข้าไปในกระเป๋าธุรกรรม Wintermute DeFi การสูญเสีย 162 ล้านดอลลาร์สหรัฐยังเป็นการสูญเสียทางการเงินที่ใหญ่เป็นอันดับสองที่เกิดจากการรั่วไหลของคีย์ส่วนตัวในปีนี้ รองจาก Yu Ronin เท่านั้น
ขณะนี้ปัญหายังไม่ได้รับการแก้ไข: กระเป๋าเงินทั้งหมดที่สร้างขึ้นจาก Profanity มีความเสี่ยง ผู้ใช้ทั้งหมดที่สร้างกระเป๋าเงินโดยใช้ Profanity ควรโอนสินทรัพย์ไปยังกระเป๋าเงินที่สามารถสร้างคีย์ออฟไลน์โดยเร็วที่สุด
"การรักษาความปลอดภัยการจัดการคีย์ส่วนตัวเป็นข้อกำหนดพื้นฐานในพื้นที่ Web 3.0 เนื่องจากช่องโหว่ของ Profanity และการละเมิดคีย์ส่วนตัวอื่น ๆ แสดงให้เห็นแล้ว จุดอ่อนใดๆ ในการสร้างคีย์หรือการจัดการสามารถสะกดหายนะสำหรับผู้ใช้ Web 3.0 และผลกระทบทางเพศของแอปพลิเคชัน"
ชื่อระดับแรก
กลุ่มแฮ็ค Lazarus Group
Lazarus Group เป็นหนึ่งในผู้คุกคามที่ต่อเนื่องและมีประสิทธิภาพมากที่สุดในพื้นที่สินทรัพย์ดิจิทัล นอกเหนือจากการเจาะสะพาน Ronin ซึ่งทำเงินให้พวกเขามากกว่า 500 ล้านดอลลาร์แล้ว กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากเกาหลีเหนือยังดำเนินการโจมตีที่สร้างผลกำไรหลายครั้งในปี 2565 สิ่งที่น่าสังเกตมากที่สุดคือ Operation In(ter)ception ช่องโหว่ Gate.io และการโจมตี Harmony Horizon Bridge Operation In(ter)ception เป็นโครงการโฆษณาหลอกลวงงานที่ดำเนินการโดย Lazarus Group ซึ่ง Lazarus โพสต์ตำแหน่งงานในเว็บไซต์ต่างๆ เช่น LinkedIn โดยขอให้ผู้สมัครดาวน์โหลดไฟล์ PDF ที่ใช้ไฟล์ปฏิบัติการ จากนั้นมัลแวร์จะทำการดำเนินการของ Lazarus เจ้าหน้าที่รักษาความปลอดภัยสามารถกำหนดเป้าหมายช่องโหว่ในระบบของเหยื่อเพื่อขโมยข้อมูลที่ละเอียดอ่อนจากพนักงานในอุตสาหกรรม
กิจกรรมของ Lazarus Group ไม่ได้จำกัดอยู่แค่สินทรัพย์ดิจิทัลเท่านั้น พวกเขาอยู่เบื้องหลังการแฮกข้อมูลของ Sony Pictures ในปี 2014 และการโจมตี DDoS ก่อนหน้านี้ในเกาหลีใต้และสหรัฐอเมริกา แต่เนื่องจากหันมาสนใจเว็บ 3.0 อิทธิพลที่มุ่งร้ายของกลุ่มก็เพิ่มขึ้น การโจมตีด้วยแรนซั่มแวร์ WannaCry ในปี 2560 ดำเนินการโดยแก๊งนี้ นับเป็นการโจมตีครั้งใหญ่ที่สุด ส่งผลกระทบต่อคอมพิวเตอร์มากกว่า 300,000 เครื่องใน 150 ประเทศ และเรียกร้องให้จ่ายค่าไถ่เป็นบิตคอยน์ การโจมตีด้วยฟิชชิ่งแบบหอกต่อผู้ใช้รายบุคคลและการแสวงหาประโยชน์จากการแลกเปลี่ยนของเกาหลีใต้ได้สร้างรายได้หลายล้านดอลลาร์ให้กับ Lazarus Group
ชื่อระดับแรก
ชื่อเรื่องรอง
ม่านห่วงโซ่อุตสาหกรรม
KYC,รู้จักลูกค้าของคุณ หรือที่เรียกว่าการตรวจสอบประวัติโครงการ ผู้พัฒนาโครงการสามารถเลือกรับการตรวจสอบ KYC เพื่อแสดงให้ชุมชนเห็นว่าพวกเขายินดีเปิดเผยตัวตนและเชื่อมโยงตัวตนและชื่อเสียงกับบริการที่พวกเขามอบให้เพื่อเพิ่มความน่าเชื่อถือของโครงการ
อย่างไรก็ตาม อุตสาหกรรมนักแสดง KYC ยกระดับความชอบธรรมของการยืนยันตัวตน CertiK เพิ่งเผยแพร่รายงานเกี่ยวกับนักแสดง KYCบทสัมภาษณ์และรายงานเชิงสืบสวนเกี่ยวกับการซื้อขายในตลาดมืด ในตลาดมืด บริการให้เจ้าหน้าที่ KYC มืออาชีพทำการตรวจสอบในนามของคุณสามารถซื้อได้ในราคาต่ำกว่า RMB 50 ดังนั้น KYC ที่ไม่คำนึงถึงความเสี่ยงที่อาจเกิดขึ้นจากการเปลี่ยนตัวนักแสดงจึงไม่มีประโยชน์
ใบรับรองบริการตรวจสอบประวัติโครงการ KYCเป็นกระบวนการตรวจสอบเชิงลึก ผู้เชี่ยวชาญที่ CertiK จ้างมาจะใช้ประวัติการตรวจสอบอย่างมืออาชีพเพื่อให้การยืนยันตัวตนในระดับสูงสุด ดังนั้น จึงไม่ต้องกังวลเกี่ยวกับการฉ้อโกง KYC และความเสี่ยงจะกลับมาจากชุมชนเพื่อถือครองเงินล้าน หรือนักพัฒนาโครงการหลายสิบรายที่มีเงินทุนผู้ใช้หลายพันล้านดอลลาร์
โปรโตคอลแบบกระจายอำนาจอย่างแท้จริงคือโปรโตคอลที่นักพัฒนาได้สละสิทธิ์การเป็นเจ้าของแพลตฟอร์มอย่างชัดแจ้ง ดังนั้นจึงสมเหตุสมผลที่โครงการที่มีการควบคุมจากส่วนกลางเกี่ยวกับเงินของผู้ใช้จำเป็นต้องผ่าน KYC เพื่อเพิ่มความโปร่งใสและความไว้วางใจ
“ในปีนี้ เราได้เพิ่มบริการตรวจสอบเบื้องหลังโครงการ KYC แบบกำหนดเองให้กับบริการรักษาความปลอดภัยแบบ end-to-end ของ CertiK เนื่องจากผู้ก่อตั้งที่ไม่ระบุชื่ออาจมีประวัติอาชญากรรมและปัญหาอื่น ๆ ทีมจึงอาจใช้ใบรับรอง KYC ที่มีคุณภาพไม่สม่ำเสมอหรือแม้แต่ของปลอม ความไว้วางใจในทีม Web 3.0 ทำให้เกิดปัญหาจริง ๆ เราจะใช้ความรู้และความเชี่ยวชาญเฉพาะโดเมนของเราในการตรวจสอบทีมโครงการเพื่อให้สมาชิกในทีมสามารถตรวจสอบตัวตนได้อย่างแม่นยำและเจาะลึก แน่นอน เราแบ่งปันการประเมินความเสี่ยงนี้กับชุมชน ผลลัพธ์คือ รับประกันการปกป้องความเป็นส่วนตัวของทีมอย่างแน่นอน”
ชื่อระดับแรก
การโจมตีแบบฟิชชิ่ง
การโจมตีแบบฟิชชิ่งยังคงเป็นภัยคุกคามอย่างต่อเนื่องในอาณาจักร Web 3.0 และเล่ห์เหลี่ยมของมิจฉาชีพก็ดีขึ้นเรื่อย ๆ ในทุกขั้นตอน ทรัพย์สินมูลค่าหลายล้านดอลลาร์ถูกขโมยผ่านฟิชชิง ไม่เพียงแต่ชุมชนเท่านั้น แต่ผู้ใช้แต่ละรายยังตกเป็นเป้าหมายของมัลแวร์และผู้ประสงค์ร้ายอีกด้วย วิธีการฟิชชิ่งใหม่ๆ เกิดขึ้นอย่างไม่รู้จบ และพฤติกรรมฉ้อฉลของพวกเขาล้วนใช้ประโยชน์จากการที่บล็อกเชนไม่สามารถย้อนกลับได้และการขาดประสบการณ์ของผู้ใช้
ชื่อระดับแรก
กฎหมายและข้อบังคับ
ชื่อระดับแรก
การทบทวนประจำปี 2565
ในปี 2022 มูลค่าตลาดของสกุลเงินดิจิทัลหายไปหลายล้านล้านดอลลาร์ หลายหมื่นล้านดอลลาร์ถูกบล็อกในกระบวนการล้มละลายของสถาบันส่วนกลาง และโปรโตคอลแบบกระจายอำนาจสูญเสียมากกว่า 3 พันล้านดอลลาร์ ดังนั้นภาพปี 2022 ที่สดใสจึงจบลง ยากที่จะนึกภาพ
เนื่องจากสถานการณ์ผันผวนอย่างมาก ผู้เล่น Web 3.0 ชั้นนำจำนวนมากจึงหายไปในประวัติศาสตร์ รวมถึงโครงการหรือแพลตฟอร์มที่เราเคยคิดว่าไม่สามารถป้องกันได้ แต่แอปพลิเคชันและแพลตฟอร์ม Web 3.0 ที่ยังหลงเหลืออยู่ส่วนใหญ่ยังคงค่อยๆ ก้าวไปข้างหน้าอย่างช้าๆ ผ่านวิกฤต จนถึงขณะนี้ดูเหมือนว่าสิ่งต่างๆ ยังปกติอยู่
12 เดือนที่ผ่านมาเป็นบททดสอบความเครียดที่สำคัญสำหรับอุตสาหกรรม และไม่ใช่ทุกคนที่ผ่านมันไปได้ แต่ "สิ่งที่ไม่ฆ่าคุณจะทำให้คุณแข็งแกร่งขึ้น" ผู้รอดชีวิตจะได้เรียนรู้บทเรียนในอดีตและต่อสู้เพื่อโอกาสที่สดใสกว่า
ระบบโอเพ่นซอร์สที่กระจายอำนาจมอบประโยชน์ที่แท้จริงแก่ผู้ใช้ และสามารถทำให้อินเทอร์เน็ตเป็นสถานที่ที่อิสระและยุติธรรมยิ่งขึ้น ซึ่งเป็นวิสัยทัศน์ที่ต้องคำนึงถึงเมื่อเราสร้างอนาคตดิจิทัล แต่ความยุติธรรมและเสรีภาพไม่มีความหมายเมื่อทรัพย์สินของคุณอาจถูกขโมยได้ในทันที นั่นเป็นเหตุผลที่ความปลอดภัยเป็นปัจจัยสำคัญ โซลูชันการรักษาความปลอดภัยแบบ end-to-end ของ CertiK ช่วยให้ผู้ใช้และผู้สร้างมีเครื่องมือที่พวกเขาต้องการเพื่อสำรวจโลก Web 3.0 ที่เกิดขึ้นใหม่อย่างปลอดภัย
การรักษาความปลอดภัยเป็นทางเลือกหนึ่ง และแน่นอนว่าจำเป็นต้องทำเพื่อนำประโยชน์ของ Web 3.0 มาสู่ผู้ชมในวงกว้างที่สุดเท่าที่จะเป็นไปได้
ชื่อระดับแรก
รวมรายงานเวอร์ชัน PDF และสร้างลิงก์แล้ว ยินดีที่จะดาวน์โหลดและดู
รวมรายงานเวอร์ชัน PDF และสร้างลิงก์แล้ว ยินดีที่จะดาวน์โหลดและดู
ข้อความเบื้องหลังบัญชีสาธารณะ WeChat ทางการของ CertiK [2022] หรือ [ปี] เพื่อรับลิงก์ดาวน์โหลด PDF👌
คัดลอกลิงก์ไปยังเบราว์เซอร์ของคุณเพื่อดาวน์โหลดทันที:
http://certik-2.hubspotpagebuilder.com/2022
