CertiK年度報告：大事件層出不窮，23年又將何去何從？

CertiK

特邀专栏作者

2023-01-06 05:00

本文約9496字，閱讀全文需要約14分鐘

2022年黑客從Web3.0協議中盜取了價值約37.7億美元的資產，比去年的13億美元損失增加了189%，熊市大型安全事件層出不窮，2023又該何去何從？

AI總結

展開

2022年黑客從Web3.0協議中盜取了價值約37.7億美元的資產，比去年的13億美元損失增加了189%，熊市大型安全事件層出不窮，2023又該何去何從？

2022 年對於整個數字資產行業來說是艱難的一年。在市場低迷的大環境下， 65% 的數字資產市值化為烏有，而數量空前的黑客攻擊、詐騙事件和機構崩盤，讓本就損失慘重的投資者們雪上加霜。

從今年3 月Ronin Bridge 被盜6.24 億美元事件到11 月FTX 幾乎一夜崩塌， 2022 年的損失規模創下了歷史之最。今年的資產損失約為37.7 億美元，遠遠超過2021 年的13 億美元記錄。

本報告將深入探究導致Celsius、BlockFi 以及FTX 等中心化交易所潰敗的各種因素。作為這些迅速重蹈行業覆轍的中心化機構的替代品，Web3.0 和基於開源區塊鏈的去中心化金融應用將會發揮重要作用，但僅憑這一點就期望Web3.0 走向大規模應用還不太現實。雖然與今年中心化領域的破產規模相比，去中心化世界的損失相對較小，但其總額也有數十億美元之多。整個Web3.0 行業都需要對過去一年進行深刻反思，努力從這段艱難時期中尋求一線生機。

一級標題

2022 年行業安全概要

① 2022 年，黑客從Web3.0 協議中盜取了價值約37.7 億美元的資產。

② 這個數字比2021 年的13 億美元損失增加了189% 。

③ 2022 年發生了316 起退出騙局，共盜取了約2.1 億美元， 102 起閃電貸與預言機操縱事件共造成了約3.6 億美元的損失。

④ 僅僅9 個跨鏈橋漏洞就佔了所有損失價值的三分之一以上，黑客從跨鏈橋攻擊中總共盜取了約13.5 億美元。

一級標題

中心化平台或成為難以調和的矛盾

今年以來，許多知名數字資產企業的消亡給整個行業都蒙上了陰影。雖然這些企業全都從事數字資產買賣、借貸和交易業務，但當我們為其貼上相同標籤之前，應該考慮一下，這些已然倒閉的企業是否真正可以被歸類為數字資產公司。

可以肯定的是，導致這些企業失敗的原因更多是源於他們的商業運營模式，而不是他們所管理的資產。中心化數字資產企業（也被稱為CeFi，意為“中心化金融”，與“去中心化金融”DeFi 相反）的致命缺陷就隱含在其名稱中：它們在具有單點控制的中心化系統上運行，而這恰恰引發了今年我們所目睹的單點潰敗。

接下來的故事多少有些悲劇性的諷刺色彩。在今年2 月份的超級碗比賽期間（Super Bowl，美國國家橄欖球聯盟年度冠軍賽），FTX 曾向數百萬的觀眾推銷數字資產的概念，聲稱數字資產是“下一個大事件”，並暗示不參與其中的人就像廣告中所扮演的傻瓜那樣會錯失一切。

然而，FTX 背地裡卻將用戶的存款發送至該公司所謂的“非內部”但實際為內部的交易部門——Alameda，該部門很快就在投資上損失了數十億美元，這也嚴重違反了該交易所的服務條款。

關於FTX 非流動性資產負債狀況的驚人消息很快不脛而走，典型的銀行擠兌事件也隨即爆發。如果一家交易所按1: 1 的比例保留存款資金，且不在未經許可的情況下進行重新抵押或出借，那麼它或許就能經受住這次考驗。但FTX 的情況並非如此。

FTX 前首席執行官Sam Bankman-Fried 曾策劃了一連串極其奢華的收購、贊助和救助活動，因此也令FTX 的垮台也更加令人難以置信。比如另一家現已倒閉的CeFi 公司Voyager Digital 在申請破產後就宣布FTX 成功收購了其資產，然而在FTX 閃電式崩盤後只能再次申請破產，這些突如其來的事件全部發生在了2022 年下半年。

FTX 和Three Arrows Capital 等公司的倒閉確實打擊了許多大型投資機構，但受傷最嚴重的還是大量的普通散戶。鋪天蓋地的營銷、公眾人物代言和個人崇拜使他們將信心投放在了錯誤的平台，並為此付出了慘痛代價。

之所以說受傷散戶的比例很高，是因為在Voyager 平台上， 97% 的用戶資產都不到1 萬美元。其中許多誤認為CeFi 平台更加安全的用戶，其資產現已蕩然無存。他們認為把資產存入CeFi 平台更加放心，收益也更高，同時避免了去中心化平台的智能合約所帶來的高入門門檻以及各種風險。

一級標題

Terra 崩盤事件

今年影響最大的事件之一是Terra 的崩盤，其450 億美元的市值在幾天內化為泡影。

與Tether、USDC 和BUSD 等穩定幣不同，算法穩定幣並非依靠與美元1: 1 的錨定比率來維持穩定，而是通過其內部機制來維持貨幣錨定。具體來說，算法穩定幣通過智能合約設定的鑄幣及銷毀功能來維持其基本價值。

以Terra 的UST 穩定幣為例，UST 與另一項獨立的數字資產Luna 掛鉤，UST 的持有者隨時可以把他們的資產兌換成等值的LUNA。在5 月初，LUNA 的交易價格為85 美元，此時一個UST 穩定幣可以交易0.0118 枚LUNA。

假如UST 的交易價格跌破其設定的1 美元門檻，做市商們隨即會把大量UST 兌換為LUNA 以縮小二者間的價值缺口。其原理是在降低UST 供應量的同時，提升對LUNA 的需求，也就是通過提高支持該穩定幣儲備資產的價格，來維持貨幣錨定的穩定。

5 月7 日，鏈上分析顯示UST 被大量拋售， 8500 萬的UST 被兌換成了8450 萬USDC，這直接導致了UST 首次脫鉤美元。受此影響， 5 月8 日UST 的價格跌至0.985 美元的低點。

為了讓UST 重新錨定美元，Luna Foundation Guard（LFG）部署了價值7.5 億美元的比特幣，以協助做市商們維持UST 價格的穩定。在市場環境恢復正常後，LFG 又回購了價值7.5 億美元的比特幣。

然而令人意想不到的是， 5 月9 日UST 的價格竟然跌至0.65 美元的更低點。 UST 的再次脫鉤隨之引發了LUNA 的價格震動，其價格驟跌至35 美元，跌幅超過44% ，而這又使得LUNA 與UST 之間的市值脫鉤，從而危及其作為穩定儲備資產的功能。因為此時的LUNA 生態系統已經沒有足夠的價值來抵押所有正在流通的UST 了。

一級標題

危機持續蔓延

Celsius 是一個支持用戶存入資產以賺取收益的中心化平台，其曾在Terra 生態系統中持有超過5 億美元的資金。在Celsius 倒閉前，其聲稱已經撤回了所有資產。但一個月過後，該公司就宣布暫停存款業務，併申請破產。

Celsius 的用戶永遠無法得知他們所賺取的收益來源，他們也對自己所承擔的風險一無所知。

Celsius 還利用去中心化平台償還了許多債務，以努力挽回其所剩無幾的流動性資金，這也從側面證明了DeFi 的力量：所有鏈上活動都是公開可見的，這就與Celsius 對投資者和債權人各種隱瞞的負債形成了鮮明對比。

雪上加霜的是，為了證明偽匿名去中心化金融平台的隱私優勢，Celsius 後來在一份法庭文件中公開披露了其數千名用戶的姓名、餘額和交易歷史記錄。這是極其不負責任的而且危險的行為。

而Aave 等DeFi 平台的持續成功，為去中心化商業模式提供了正面的素材支持。用戶可以實時驗證Aave 的償還支付能力，了解儲戶賺取的收益來自哪裡。而該平台的清算過程，根本不允許出現最終導致Celsius 倒閉的風險。

一級標題

Web 3.0 解決方案

或許這就是Web 3.0 世界的意義：建立在開源區塊鏈上的去中心化應用，為不透明的中心化機構世界提供了強有力的替代，同樣也為具有眾所周知缺陷的金融運作方式提供了真正的替代。

使用過Aave 的用戶可能知道，該平台是無法違背其服務條款的，因為這些條款被寫入了管理其運作的智能合約，就如同一個準則被寫入了DNA 一樣；在Pancake Swap 平台上交易的用戶也不需要擔心他們的資產控制權有可能被轉移給平台，因為所有交易都在區塊鏈上被公開透明地執行；雖然各種高收益率的Yield 產品可能會使用戶承擔相當大的風險，但這也取決於Yield 產品的特性和策略。無論如何用戶可以隨時看到他們資產的去向以及收益率的獲得方式，一切將公開透明。

雖然以上所述確實給用戶帶來了更多的盡職調查負擔，但Web 3.0 模式相較中心化平台還是有著不可比擬的優勢，許多中心化金融（CeFi）的崩潰故事在去中心化的環境中根本不可能發生。

然而，Web 3.0 在實現其全部潛力和被認為是CeFi 的真正替代之前，還有一段路要走。

值得思考的是：為什麼數以百萬計的用戶願意將數十億美元“託付”給這些中心化組織？

或許是因為中心化組織提供了一個流程簡化的服務，並且消除了自我保管的風險。除此之外，他們也提供更大的流動性和更豐富的金融產品，並提供支持與服務平台以便及時幫助用戶解決遇到的問題。最後，別忘了黑客僅2022 年就利用去中心化協議的漏洞獲得了數十億美元的收益，這也是為什麼更多人選擇相信中心化的平台。

如果想要走的更遠，Web 3.0 需要在兩個主要方面進行改進：可用性和安全性。

一級標題

跨鏈橋攻擊事件

2022 年，針對跨鏈橋的攻擊事件共導致了13 億美元的損失，這個數字佔據了過去12 個月總損失金額的36% 。僅其中三起事件就佔據了整個跨鏈橋資產損失的87% ，這也突顯了跨鏈橋攻擊會帶來的巨大風險。

跨鏈應用大多具有極其複雜的技術結構，同時也包含了各種攻擊載體。其複雜性能夠為其提供更廣泛的功能，但代價是會暴露更多的攻擊面。

💣Ronin 損失6.25 億美元

Ronin Bridge 事件可以說是DeFi 領域有史以來最大的攻擊事件/漏洞。 3 月23 日，為Web 3.0 遊戲Axie Infinity 建立的側鏈被黑客攻擊，超過173, 600 枚ETH 和2, 550 萬USDC（總價值6.25 億美元）受到損失。

Nomad 的報告顯示，黑客設法獲得了保護網絡的五個驗證節點私鑰，並且有證據表明攻擊者是朝鮮的黑客組織Lazarus Group。該組織利用先進的魚叉式網絡釣魚攻擊來獲取私鑰，在榨乾資產後，攻擊者通過Tornado Cash 和中心化交易所（包括FTX 和Huobi）將贓款洗白。

💣Wormhole 損失3.26 億美元

2 月2 日，Wormhole Bridge 被黑客攻擊，損失了價值3.26 億美元的資產。攻擊者通過注入假的sysvar 賬戶來繞過驗證檢查，讓他們可以藉此輸出惡意信息，並被Bridge 接受。攻擊者通過調用帶有惡意信息的complete_wrapped 函數，成功鑄造了12 萬枚WETH。鑄幣兩分鐘後，攻擊者將1 萬枚ETH 橋接到以太坊區塊鏈上。大約20 分鐘後，以太坊區塊鏈上又進行了8 萬枚ETH 的交易。截至2022 年底，這些被盜資金仍存放在攻擊者的錢包。

💣Nomad 損失1.9 億美元

8 月1 日，Nomad Bridge一級標題

一級標題

Profanity 漏洞與私鑰洩漏事件

私鑰洩露引發的攻擊或成為了2022 年最具破壞性的事件之一：通過私鑰洩露被盜的金額在2022 年超過了10 億美元，佔比近全年損失的三分之一。這一數字與2021 年相比有所增長—— 2021 年因私鑰洩露造成的損失為8.92 億美元。 Ronin 事件就是因私鑰洩露導致被惡意利用的一個典型例子。

一旦惡意行為者獲得了錢包的私鑰，他們就可以完全控制錢包中的所有資產。私鑰洩露可能是密鑰本身沒有被安全管理的結果。然而，去年最大的安全事件是由Profanity 工俱生成的Vanity 地址中的一個特定漏洞造成的。

什麼是Profanity？

除此之外，

除此之外，Profanity還可以被用來創建錢包地址，以優化手續費，這也是Wintermute 團隊創建0 x 00000000 AE 347......b 92280 f 9 e 75 地址的初衷，但卻最終導致了錢包被黑。開頭那串冗長的0 簡化了地址，減少了以太坊網絡的算力需求，從而在一定程度上降低了交易手續費——這些節省下來的手續費看似微小，卻會在成千上萬的交易中積少成多。

2022 年1 月，用戶k 06 a 曾在Profanity 的GitHub（已被開發者放棄三年以上）：https://github.com/johguse/profanity/issues/61 ，提出了一個關於私鑰生成方式的問題：Profanity 使用一個隨機的32 位種子數來生成256 位私鑰，並呼籲關注私鑰的生成方式。然而這個意見似乎沒有得到解決。

暴力攻擊密碼或私鑰就是類似於使用硬件來不斷嘗試每一個可能的組合。如果你有1000 把鑰匙和一把鎖，你只需嘗試每一把鑰匙，直到找到合適的那一把。

僅過兩天，該漏洞就在眾目睽睽之下遭到黑客利用： 0 x 6...b 93 錢包賬戶抽空了多個Vanity 錢包，包括來自0 x 0 Babe...B 05 的500 枚ETH、 0 x 888888888...597 的100 枚ETH、 0 x 000000...422 的104.4 枚ETH，以及更多其他錢包的資產，總價值為330 萬美元。

“一組1000 個GPU 理論上可以在50 天內對使用Profanity 生成的每個7 字Vanity 地址的私鑰進行暴力破解。我們使用16 GB 內存的Macbook M 1 ，在不到10 個小時內預計算出一個數據集——這個數據集只需要計算一次就可以利用不同的地址。實際的過程（不算預計算），對於一個前面有七個零的地址來說，大約需要40 分鐘。我們做到了，並在不到48 小時內破解了0 x 0000000...99 b 的私鑰。”

—— Amber Group

在技術發展瞬息萬變的Web 3.0 世界，只需要兩天就能藉助這一漏洞攻破一個Wintermute 的DeFi 交易錢包，其損失的1.62 億美元也是今年因私鑰洩露而造成的第二大資金損失，僅次於Ronin。

目前問題尚未得到解決：所有基於Profanity 創建的錢包都存在風險。所有使用Profanity 生成錢包的用戶都應盡快將資產轉移到可離線生成密鑰的錢包中。

一級標題

黑客組織Lazarus Group

Lazarus Group 一直是數字資產領域最持久、最有效的威脅者之一。除了讓他們淨賺5 億多美元的Ronin Bridge 漏洞外，這個由朝鮮國家支持的黑客組織在2022 年還進行了多次有利可圖的攻擊。最值得關注的是Operation In(ter)ception，Gate.io 漏洞，和Harmony Horizon Bridge 攻擊。 In(ter)ception 行動是一個由Lazarus Group 實施的求職欺詐廣告計劃，Lazarus 在LinkedIn 等網站上發布工作機會，要求申請者下載一個部署有可執行文件的PDF 文件，然後這個惡意軟件使Lazarus 的操作人員能夠針對受害者係統中的漏洞，竊取業內員工的敏感信息。

二級標題

一級標題

二級標題

產業鏈面紗

KYC,即了解你的客戶，也可以被稱為項目背景調查。項目開發者可以選擇接受KYC 驗證，以便向他們的社區表明他們願意公開身份，並將身份和聲譽與他們提供的服務聯繫起來以增加項目可信度。

然而，KYC 演員行業顛覆了身份驗證的正當性。 CertiK 於不久前發布了一份關於KYC 演員黑市買賣的採訪和調查報告。在黑市上，不到50 人民幣的價格就可以購買讓專業KYC 演員代替你進行驗證的服務。因此不將這種潛在的演員替代風險考慮在內的KYC 是毫無意義的。

CertiK 的KYC 項目背景調查服務是一個深入調查的過程，由CertiK 聘請的專家，利用他們的專業調查背景來提供最高水平的身份驗證，因此不必擔心KYC 有造假，風險也將從社群回歸到持有數百萬或數十億美元用戶資金的項目開發者身上。

而真正的去中心化協議，就是其開發者已經明確地放棄了對平台的任何所有權。因此那些對用戶資金有著集中控制權的項目被社區要求進行KYC，以增加透明度和信任度，是合乎情理的。

一級標題

網絡釣魚攻擊

網絡釣魚攻擊一級標題

一級標題

2022 年度回顧

2022 年，數字貨幣的市值損失了數萬億美元，數百億美元被封鎖在中心化機構已破產的程序中，而去中心化的協議損失了30 多億美元，因此2022 年的美好景像已很難描繪而出。

由於形勢的極端動盪，許多Web 3.0 頭部大型參與者已經消逝在歷史中，這包括了那些我們曾經以為無懈可擊的項目或平台。不過倖存的大多數Web 3.0 應用程序和平台仍在危機中緩緩前進，目前來看一切尚還維持著常態。

過去的12 個月對整個行業都是一個重大的壓力測試，並不是所有的人都挺過來了。但是“殺不死你的會讓你變得更強大”，倖存者將吸取往日的教訓，搏出更具潛力的前景。

開源、去中心化的系統為用戶提供了真正的好處，可以使互聯網成為一個更自由、更公平的地方，這是在建設數字未來時要牢記的願景。但是，當你的資產可能在頃刻之間被盜時，公平和自由就毫無意義可言了。這就是為什麼安全是至關重要的因素。而CertiK 端到端的安全解決方案，為用戶和建設者提供了他們需要的工具，使得用戶可以安全地瀏覽新興的Web 3.0 世界。

一級標題