2022年对于整个数字资产行业来说是艰难的一年。在市场低迷时期,65%的数字资产市值化为乌有,前所未有的黑客攻击、欺诈事件和机构崩溃让损失惨重的投资者雪上加霜。
从今年3月罗宁大桥6.24亿美元被盗,到11月FTX几乎一夜之间崩盘,2022年的损失规模创历史之最。今年';美国的资产损失约为37.7亿美元,远超2021年13亿美元的纪录。
本报告将深入探讨导致Celsius、BlockFi和FTX等集中式交易所崩溃的各种因素。作为这些迅速重蹈行业覆辙的中央集权机构的替代品。Web3.0和基于开源区块链的去中心化金融应用将发挥重要作用,但仅在这一点上期望Web3.0走向大规模应用并不现实。虽然与今年中心化领域的破产规模相比,去中心化世界的损失相对较小。,但其总额也是数十亿美元。整个Web3.0行业需要深刻反思过去的一年,努力从这个困难时期寻求一个机会。
虽然不安全的协议还是会造成损失。但这并不能否认Web3.0的真正价值,如今各类资产估值普遍下降,人们';美国的狂热已经逐渐消退。由此,我们可以退一步,看看现在的情况,把这个行业建立在更坚实的基础上。
除了回顾今年发生的主要黑客攻击和漏洞,该报告还将展示CertiK'的开放和独家的安全研究,以履行其使命,守卫Web3.0世界。
2022黑客从Web3.0协议中窃取了价值约37.7亿美元的资产。
这一数字比2021年的13亿美元亏损高出189%。
2022年出境骗局316起。,总计约2.1亿美元被盗,102起闪电贷款和电脑操控事件共造成约3.6亿美元损失。[XY002][XY001](4)仅9个跨桥漏洞就占全部损失的三分之一以上,黑客从跨桥攻击中窃取了约13.5亿美元。。
尽管经历了一年的熊市,CertiK审计的项目数量仍在持续增长。到目前为止,CertiK已经完成了5046个Web3.0项目的审计。与去年底审计总数相比,增长了73%。
本文涵盖了今年以来的重大安全事件、Web3.0的发展趋势以及整个行业经过一年的动荡后的形势分析。
今年以来,众多知名数字资产企业的倒闭给整个行业蒙上了一层阴影。。虽然这些企业都是从事数字资产买卖、出借、交易的业务,但是在我们给它们贴上相同的标签之前,我们应该考虑一下这些倒闭的企业是否真的可以归为数字资产公司。可以肯定的是这些企业的失败更多的是因为他们的商业运作模式,而不是他们管理的资产。集中式数字资产企业(也称为CeFi,意思是"中央财政"与"分散财政"DeFi),致命的缺陷就隐含在它的名字中:它们运行在具有单点控制的集中式系统上,这刚刚触发了我们今年目睹的单点崩溃。
下面的故事有些悲壮和讽刺。。在今年2月的超级碗期间,FTX向数百万观众宣传了数字资产的概念,声称数字资产是"下一个大事件"。并建议那些不';不参与其中会像广告里演的傻子一样错过一切。
然而,FTX暗中派用户';存款到所谓的"非内部"但实际上是公司的内部交易部门,——Alameda。该部门很快损失了数十亿美元的投资,这也严重违反了交易所的服务条款。关于FTX的惊人消息';美国的非流动资产和负债像野火一样蔓延,一场典型的银行挤兑随即爆发。。如果一个交易所将沉淀资金保持在1:1的比例,并且不私自再抵押或出借,那么它或许能够经受住这种考验。但FTX的情况并非如此。
FTX前首席执行官山姆班克曼-弗里德(SamBankman-Fried)曾策划了一系列极其奢华的收购、赞助和救助活动,使得FTX的崩溃更加不可思议。。例如,另一家现已倒闭的CeFi公司VoyagerDigital宣布,FTX在申请破产后成功收购了其资产。然而,在FTX';闪电崩盘后,它只能再次申请破产。所有这些突发事件都发生在2022年下半年。[XY002][XY001]FTX、三箭资本等公司的倒闭,确实打击了很多大型投资机构,但受伤最重的还是大量的普通散户。。铺天盖地的营销,公众人物';背书和个人崇拜让他们把信心放在了错误的平台上,并为此付出了惨痛的代价。
散户受伤的比例之所以高,是因为在航海家平台上,百分之九十七';的用户资产不到1万美元。。他们中的许多人错误地认为CeFi平台更安全,他们的资产现在已经没有了。他们认为在CeFi平台存储资产更安全,收益更高,同时避免了去中心化平台智能合约带来的高准入门槛和各种风险。
有关FTX的更多详情,请咨询《FTX事件始末,黑客攻击总结:2022第四季度Web3.0行业安全报告》。
这些教训虽然对人来说很痛苦,但其实是不可或缺的一课。。数字资产的核心原则是自我监督、自我主权,所以把控制权交给用户是违背上述原则的';资产转移到集中平台。
这些平台完全有可能不遵守它们的服务条款,而且您永远也不会知道平台是如何使用您的资产的。此外,你还可以';无法验证平台的财务健康状况,你可以';不要跟踪资产的流动,以了解收入的字面来源和你必须承担的风险。一切只不过是建立在用户盲目的信任和信念上,而今年发生的事情也证明了它的后果:看似一个安全的开始,却以一个满目疮痍的结局收场。今年最有影响力的事件之一是Terra的崩溃。其450亿美元的市值在几天内化为乌有。
与泰瑟、USDC和BUSD不同,算法稳定货币不是依靠1:1对美元的锚定比来维持稳定,而是通过其内部机制来维持货币锚定。明确地该算法通过智能合约设置的造币和销毁功能,稳定硬币以维持其基本价值。
拿Terra'以UST稳定货币为例,UST与另一项独立的数字资产Luna挂钩。UST持有者可以随时将他们的资产换成等价的卢娜。5月初,LUNA的成交价为85美元。此时,一枚UST稳定币可以交易0.0118枚月神币。
如果UST的交易价格跌破其设定的阈值1美元,做市商会立即将大量UST转换为卢纳,以缩小二者之间的价值差距。原则是减少UST的供应,同时增加对露娜的需求。,即通过提高支持稳定货币储备的资产价格,来维持货币锚定的稳定性。
5月7日,连锁分析显示UST被大量抛售,8500万UST兑换成8450万USDC,直接导致UST首次与美元脱钩。。受此影响,UST价格在5月8日跌至0.985美元的低点。
LunaFoundationGuard(LFG)部署了价值7.5亿美元的比特币,以便UST重新锚定美元。帮助做市商维持UST价格的稳定。在市场环境恢复正常后,LFG回购了价值7.5亿美元的比特币。
然而,出乎意料的是,UST的价格在5月9日竟然跌到了0.65美元的低点。。UST的重新脱钩引发了LUNA的价格冲击,其价格暴跌至35美元,跌幅超过44%,进而使LUNA与UST的市值脱钩,从而危及其作为稳定储备资产的功能。。因为这个时候LUNA生态系统还没有足够的价值去抵押所有流通中的ust。从这一刻起,露娜和UST之间微妙的平衡开始崩溃。然而,祸不单行TerraformLabs的首席执行官DoKwon是Terra的创始人,他被曝光是之前失败的算法稳定货币基础现金背后的匿名联合创始人之一。有指控称,在经历了价值脱钩和数十亿美元的损失后,DoKwon盗用了价值约6700万美元的比特币,但没有用它来维持货币锚定。韩国检察官已经签发了对跆拳道的逮捕令。但是他仍然逍遥法外。
Terra/Luna的历史性崩溃让整个区块链生态系统措手不及,从业者和用户不得不停下来思考这一事件对Web3.0未来的深远影响。
Celsius是一个集中式平台,支持用户存放资产以获取收入。它曾经拥有超过5亿美元的土地生态系统。在Celsius破产之前,它声称已经撤回了所有资产。但是一个月后,,公司宣布暂停存款业务,申请破产。Celsius用户永远不会知道他们的收入来源,他们也不知道他们所承担的风险。
Celsius还利用去中心化的平台偿还了大量债务,以努力收回其所剩无几的流动资金,这也从侧面证明了DeFi的威力:链条上的所有活动都是公开可见的。这与摄氏';对投资者和债权人的各种隐性债务。
更糟糕的是,为了证明伪匿名的去中心化理财平台的隐私优势,Celsius后来在一份法庭文件中公开披露了其数千名用户的姓名、余额和交易历史。这是极其不负责任和危险的行为。
以及Aave等DeFi平台的持续成功。为去中心化的商业模式提供了积极的物质支持。用户可以验证Aave'实时偿还和支付的能力,并知道储户获得的收入来自哪里。平台清算过程中,不存在摄氏最终倒闭的风险。
与集中式的理财平台相比,DeFi显然有很多优势。然而,为Web3.0提供动力的智能合约在某种程度上并非无懈可击:DeFi协议本身也存在一系列风险。例如,智能合同的不标准书写会引入一系列漏洞,黑客已经发现并利用了这些漏洞,2022年窃取了超过30亿美元。
在详细了解了Web3.0的优势和行业趋势后,本报告将重点分析今年发生的一些重大安全事件。
也许这就是Web3.0世界的意义:基于开源区块链的去中心化应用程序为不透明的中心化机构世界提供了一个强大的替代品。它也为具有众所周知的缺陷的金融运作模式提供了真正的替代品。
用过Aave的用户可能都知道,平台不能违反它的服务条款,因为这些条款都被写入了管理其运营的智能合约中。,就像一个准则被写入DNA在煎饼互换平台上交易的用户,不需要担心自己的资产控制权可能会转移到平台上。因为所有的交易都是在区块链公开透明的进行;虽然各种高收益的收益率产品可能会让用户承担相当大的风险,但这也取决于收益率产品的特点和策略。。无论如何,用户总能看到自己的资产去了哪里,怎么得到的收益率,一切都会公开透明。
虽然以上确实给用户带来了更多的尽职调查负担,但是Web3.0模式相比于中心化的平台仍然具有不可比拟的优势。很多集权金融(CeFi)的倒闭故事,在分权环境下是不可能发生的。
然而,Web3.0要发挥全部潜力,被视为CeFi的真正替代品,还有很长的路要走。
值得思考:为什么数百万用户愿意"委托"数十亿美元给这些中央集权的组织?
也许是因为集中化的组织提供了一种简化流程并消除自我保管风险的服务。此外他们还提供更大的流动性和更丰富的金融产品,并提供支持和服务平台,帮助用户及时解决问题。最后,唐';别忘了,仅在2022年,黑客就通过利用去中心化协议的漏洞获得了数十亿美元。这也是为什么更多人选择相信中心化平台的原因。
如果想更进一步,Web3.0需要在两个主要方面进行改进:可用性和安全性。
可用性:了解如何使用DeFi平台。有时甚至需要几个小时来学习,而这还只是在资本投入之前。甚至可能需要几天时间来彻底研究多个平台。
安全性:虽然2022年DeFi的损失可能小于CeFi,但Web3.0损失的价值仍然是数十亿美元。通过总结2022年的主要事件,我们希望唤起人们';关注Web3.0仍然需要改进的地方,尤其是安全性方面。只有重新致力于基本理想,回归初心。只有这样,我们才能建立一个完整的替代产品,为所有人提供一个真正自由公平的金融体系。
2022年,跨链桥的攻击共造成13亿美元的损失,占过去12个月总损失的36%。。仅这三起事件就占跨链桥资产损失总额的87%,这也凸显了跨链桥攻击带来的巨大风险。
跨链应用大多具有极其复杂的技术结构,也包含各种攻击媒介。它的复杂性可以为它提供更广泛的功能。但代价是暴露更多的攻击面。
?浪人损失6.25亿美元
浪人桥事件可以说是DeFi领域最大的攻击/漏洞。3月23日为Web3.0游戏AxieInfinity建立的侧链被黑,损失超过17.36万ETH和2550万USDC(总价值6.25亿美元)。
流浪者';的报告显示黑客设法获得了保护网络的五个认证节点的私钥,有证据表明攻击者是朝鲜的黑客组织拉扎勒斯集团。该组织使用高级鱼叉式网络钓鱼攻击来获取私钥,在耗尽资产后,攻击者通过TornadoCash和集中交易所(包括FTX和霍比)清洗赃款。
?虫洞损失了3.26亿美元2月2日。虫洞桥被黑,损失了价值3.26亿美元的资产。攻击者通过注入一个假的sysvar账号来绕过验证检查,这样就可以输出恶意信息,被Bridge接受。。攻击者通过调用带有恶意信息的complete_wrapped函数,成功铸造了120,000个wet。铸币后两分钟,攻击者将10,000个以太网桥连接到以太坊区块链。大约20分钟后。另有80,000笔ETH交易在区块链以太坊进行。到2022年底,这些被盗资金仍存放在攻击者手中';的钱包。
?Nomad损失1.9亿美元
8月1日,Nomad桥被使用。损失价值约1.9亿美元。攻击者利用了初始化过程中的一个漏洞,即在部署契约时将契约参数committedRoot初始化为零。此漏洞允许攻击者绕过消息身份验证,从而耗尽桥接协定中持有的令牌。。攻击者可以在一条链上接收任意数量的ETH,只要他在另一条链上存储ETH(比如0.1甚至0.0001ETH)。
值得注意的是,由于攻击过程公开不久,资金仍在桥中。所以至少有41个钱包复制了这个攻击过程。结果,NomadBridge几乎全军覆没,其总锁定价值(TVL)在几分钟内从1.9亿美元暴跌至1.2万美元。
私钥泄露导致的攻击可能成为2022年最具破坏性的事件之一:2022年通过私钥泄露窃取的金额超过10亿美元,占过去一年损失的三分之一。。与2021年相比,这一数字增加了——2。2021年,私钥泄露造成的损失为8.92亿美元。Ronin事件就是私钥泄露导致恶意利用的典型例子。
一旦恶意行为者获得了钱包的私钥,,他们可以完全控制钱包里的所有资产。私钥的泄露可能是密钥本身没有被安全管理的结果。然而,去年最大的安全事件是由亵渎工具生成的虚荣地址中的一个特定漏洞引起的。
什么是亵渎?
大多数以太坊地址将以0x开头,看起来像一个随机的十六进制字符串。这有提供一定程度的隐私的好处,但它可以';不能满足想要唯一地址的用户。。虚空地址就像一个车牌或者QQ昵称,可以帮助用户为包含指定单词或者字符串的地址生成密钥。
除此之外,亵渎还可以用来创建钱包地址,以优化手续费。这也是Wintermute团队创建地址0x00000000AE347……b92280f9e75的初衷,但最终导致钱包被黑。开头的长串零简化了地址,降低了以太网的计算能力要求。一定程度上减少交易手续费——。这些节省下来的费用看似很小,但在成千上万的交易中会累加起来。
2022年1月,用户k06a曾经在Profanity的GitHub(已经被开发者抛弃三年多了)中问了一个关于私钥生成方法的问题:Profanity使用一个随机的32位种子数生成一个256位的私钥,呼吁关注私钥生成方法。。但是,这个意见似乎并没有得到解决。
对密码或私钥的暴力攻击,类似于用硬件不断尝试每一种可能的组合。如果你有1000把钥匙和一把锁,你只需要尝试每把钥匙,直到你找到正确的。
仅仅过了两天,这个漏洞就被黑客在众目睽睽之下利用了:0x6…b93钱包账号清空了多个虚空钱包。,包括来自0x0Babe…B05的500ETH,来自0x888888888…597的100ETH,来自0x000000…422的104.4ETH,以及许多其他钱包资产,总价值为330万美元。
";一组1000个GPU理论上可以在50天内暴力破解每个由亵渎产生的7字虚空地址的私钥。我们用的是16GB内存的MacbookM1。在不到10个小时的时间里,预计计算一个数据集——,这个数据集只能使用一次不同的地址。对于前面有七个零的地址,实际过程(不包括预计算)大约需要40分钟。我们做到了。,并在不到48小时内破解了0x0000000…99b的私钥。"
——琥珀集团
在瞬息万变的Web3.0世界里,利用这个漏洞只需两天就能攻破Wintermute的一个DeFi交易钱包,其损失1.62亿美元也是今年因私钥泄露造成的第二大财务损失,仅次于Ronin。
目前问题还没有解决:所有基于亵渎创造的钱包都是有风险的。所有使用粗口生成钱包的用户,应尽快将资产转移到可以离线生成密钥的钱包中。
";私钥管理安全是Web3.0领域的基本要求。正如亵渎漏洞和其他私钥泄露事件所显示的,密钥生成或管理中的任何弱点都会给Web3.0用户和应用程序带来灾难性的后果。"
——CertiK
首席安全官李康教授拉扎勒斯集团一直是数字资产领域最持久有效的威胁之一。除了让他们净赚5亿多美元的浪人桥漏洞,2022年,这个由朝鲜国家支持的黑客组织也进行了多次有利可图的攻击。最值得注意的是(ter)拦截和Gate.io中的操作漏洞,还有和谐地平线大桥的袭击。In(ter)In(ter)ception是Lazarus集团实施的求职欺诈广告计划,Lazarus在LinkedIn等网站上发布工作机会。要求申请人下载一个带有可执行文件的PDF文件,然后这个恶意软件使Lazarus运营商能够针对受害者中的漏洞窃取行业内员工的敏感信息';s系统。
拉扎勒斯集团';美国的活动不仅限于数字资产领域:2014年,他们策划了索尼影业(SonyPictures)的黑客攻击,以及针对韩国和美国的早期DDoS攻击。但是自从我们把注意力转向Web3.0,该集团的邪恶势力的影响有所增加。2017年,WannaCry勒索软件攻击是同类攻击中最大的一次,它影响了150个国家的30多万台计算机,并要求以比特币支付赎金。。针对个人用户的鱼叉攻击和使用韩国交易所给Lazarus集团带来了数百万美元的收入。
拉扎勒斯集团';的活动凸显了Web3.0构建和运行过程中安全性的重要性。DeFi平台希望足够安全,不仅仅是为了抵御无良Solidity开发者的攻击。同时,它可以抵御来自世界上最有效的黑客的攻击。否则,拥有数亿美元用户资金的智能合约将继续成为攻击目标。
KYC,即了解你的客户,也可以叫项目背景调查。。项目开发者可以选择接受KYC验证,从而向他们的社区表明他们愿意公开自己的身份,并将自己的身份和声誉与他们提供的服务联系起来,以增加项目的可信度。然而,KYC的演员行业颠覆了身份认证的合法性。。CertiK最近发布了一份关于KYC演员黑市买卖的采访和调查报告。在黑市上,你可以花不到50元人民币买到让专业KYC演员为你做验证的服务。。因此,KYC不考虑这种潜在的演员替换风险是没有意义的。
CertiK';KYC项目的背景调查服务是一个深入的调查过程,由CertiK聘请专家。利用他们专业的调查背景,提供最高级别的认证,所以不用担心KYC的欺诈,风险会从社区回归到手握数百万或数十亿美元用户资金的项目开发者身上。
和真正的去中心化协议。也就是说,它的开发者已经明确放弃了平台的任何所有权。因此,那些对用户有集中控制权的项目';社区需要资金来开展KYC,以增加透明度和信任度。
";今年在CertiK端到端安全服务中,我们增加了KYC项目的定制背景调查服务。许多用户对Web3.0团队缺乏信任,因为匿名创始人可能有犯罪记录,团队可能使用不均衡甚至伪造的KYC认证。,产生实际问题。我们将利用我们在特定领域的知识和专长进行项目团队审核,并对成员进行准确和深入的身份审核。当然,我们会与社区分享风险评估的结果,并绝对保护团队的隐私。"
——HughBrooks,CertiK安全运营总监
网络钓鱼攻击仍然是Web3.0领域的持续威胁,欺诈者';骗术随着路的高度变得越来越高明。。目前,由于网络钓鱼,价值数百万美元的资产被盗。不仅是社区,个人用户也成为了恶意软件和恶意人士的攻击目标。新的钓鱼方法层出不穷,其欺诈行为都是利用了区块链的不可逆性和用户经验的不足。
比如一种新开发的钓鱼方法叫做冰毒钓鱼骗局,一般理解为空手套白狼。它不同于传统的钓鱼攻击,是Web3.0特有的攻击类型。。传统钓鱼通常通过一些手段获取私钥或密码等个人信息,而Ice钓鱼更多的是欺骗用户进行签名授权,授权恶意者在没有获取用户私钥的情况下随意花费自己的资产。。Ice钓鱼对于Web3.0的投资者来说是一个相当大的威胁,因为与DeFi协议的交互需要用户授予一定的权限,而且并不总是100%清楚哪些权限是通过签名授予的。
各国(地区)法律法规详情,请下载PDF版本查看。
2022年,数字货币市值损失万亿美元,数百亿美元在集中机构破产程序中受阻。而分权协议损失了30多亿美元,很难描述2022年的美好景象。
由于极端的动荡,Web3.0头部的很多大型参与者已经消失在历史中。这包括那些我们曾经认为无可挑剔的项目或平台。但是大部分幸存下来的Web3.0应用和平台仍然在危机中缓慢前行,目前一切还算正常。
过去的12个月对整个行业来说是一次重大的压力测试。不是所有的人都活了下来。但是"什么能';不杀你会让你更强大",而幸存者会吸取过去的教训,争取更有潜力的前景。
开源和分散式系统为用户提供了真正的好处。,可以让互联网成为一个更自由、更公平的地方,这是构建数字未来时要牢记的愿景。但是,当你的资产可能瞬间被盗,公平和自由就毫无意义了。这就是为什么安全是一个至关重要的因素。。CertiK'的端到端安全解决方案为用户和构建者提供了所需的工具,让用户可以安全地浏览新兴的Web3.0世界。
安全性是一个选项,目的是将Web3.0的优势带给最广泛的用户群。我们无疑需要做出这个选择。
2022年是艰难的一年,但艰难的时刻已经过去。现在是时候以一种新的乐观的态度来展望行业的未来了。