原文:《盤點2022 Web3 項目方騷操作》
作者:iambabywhale.eth,Foresight News
2022 年即將畫上句號,今年Web3 世界與全球經濟共同陷入了低谷。除了宏觀環境外,Terra、Three Arrows Capital、Celsius、FTX 等機構的先後暴雷讓本就受到宏觀經濟環境影響的Web3 領域遭到了更嚴重的打擊。
市場行情不回頭得一路向下,即使到了年底也沒有回暖的跡象。在很可能繼續持續下去的「加密寒冬」中,我們來共同回顧一下今年眾多Web3 項目令人啼笑皆非的「騷操作」,並以一個輕鬆的心態迎接即將到來的2023。
參數出錯,獎勵被「提前支付」
年初NFT 市場X2Y2 的ILO 吸引了市場不小的關注,交易手續費全數分配給持幣者的模式讓大家對X2Y2 有了「去中心化OpenSea」的期待。在年初NFT 市場依然火熱的時候,X2Y2 代幣在短時上漲後一路下跌,在所有人都詫異的時候,項目團隊在質押減半時候發現了問題所在:設置質押獎勵合約的初始參數時出現錯誤,由於參數錯誤,X2Y2 在前30 天分配了2 億總獎勵的56%,而不是最初計劃的18%。
圖中上方為計劃獎勵數量,下方為實際獎勵數量
這一失誤彼時讓很多對其寄予厚望的用戶感到難以接受。之後X2Y2 也啟動了代幣銷毀方案來盡可能減少這一失誤帶來的後果。如今X2Y2 已經發展成了NFT 市場中的一股中堅力量,而當初的這次失誤也逐漸被淡忘。
轉幣地址出錯,120 個驗證節點無一發現
今年年初,Cosmos 生態兩大向ATOM 質押者空投的項目Evmos 和Juno 短暫地火了一把,但兩個項目的空投和主網啟動卻困難重重。其中Juno 還不止一次進行了離譜的操作。
首先,一名獲得了數百萬枚JUNO 代幣的大戶因為套現了一部分被Juno 社區給盯上了,於是一個將該巨鯨持有量從300 萬枚削減為5 萬枚的離譜提案就這樣誕生並且最後通過了。不過,鑑於該巨鯨是利用空投規則漏洞獲取了大量代幣,並還在承諾將大部分用於質押後持續出售,這樣「中心化」的提案還算可以理解。
之後,一個更加令人嘆為觀止的操作發生了。一名開發人員將本應轉入社區地址的300 萬枚JUNO 轉入了錯誤的地址,更離譜的是全網120 個驗證節點無一發現收款地址有誤。之後,社區不得不再度提交提案將該資金轉回社區地址,才讓這個鬧劇落幕。
代碼存在漏洞,用戶險成「世界首富」
作為NEAR 原生超額抵押穩定USN 的發行商,Decentral Bank 可謂是創造了算法穩定幣的最短生命週期:6 個月。 FTX 和Alameda Research 作為NEAR 的主要投資方之一,其破產導致了NEAR 的價格一路下跌,使得USN 的抵押率不足,最終導致NEAR 放棄了USN。
在市場環境惡化且前途未知的情況下,NEAR 選擇壯士斷腕來降低成本未必不是一個好的選擇,但今天我們要說的並非該事件本身。
今年7 月8 日,在USN 正式推出兩個多月之時,USN 被發現存在一個差點直接「一波帶走」USN 的巨大漏洞。該漏洞出現在當用戶使用USN 通過Decentral Bank 兌換為USDT 時,若用戶錢包內沒有USDT 則會使得交易失敗,同時在合約退款時由於計數錯誤導致退款數量擴大了1 萬億倍。某用戶在使用5 枚USN 兌換USDT 時,由於漏洞導致兩次嘗試後合約退還了近10 萬億枚USN。
幸好該漏洞沒有被廣泛利用從而造成不可挽回的損失。在算法穩定幣的安全性被越來越多質疑的當下,雖然穩定幣有其重要的戰略價值,但是否要推出、推出的時機等都需要好好把握。
Wintermute 借錢給錯收款地址
以太坊二層網絡Optimism 的空投是今年熊市中少數的熱點之一,但隨之而來的一些操作讓這個融資上億美元的明星項目令人感到大跌眼鏡。
第一個離譜操作發生在6 月,但故事的主角並非Optimism,而是抵押5000 萬美元借款2000 萬枚OP 用於做市的做市商Wintermute,由於團隊內部失誤,Wintermute 向Optimism 提供了一個在以太坊主網部署的Gnosis Safe 多簽錢包地址而非事先準備好的Optimism 地址。這個離譜的失誤使得一名黑客通過重放攻擊盜取了這2000 萬枚OP。之後黑客將100 萬枚OP 交易為以太坊,100 萬轉至以太坊創始人Vitalik Buterin 地址,並退回了1700 萬枚OP。最後,Wintermute 表示會退還剩餘的200 萬枚OP,故事至此結束。
年通脹率錯增10 倍,Optimism 緊急「抹零」
書接上回,第二個故事發生在10 月,Optimism 在推特上表示OP 代幣推出時總供應量宣布將以每年2% 的速度通脹,但當部署合約時該比率被錯誤地設置為20%,今天晚些時候會將合約邏輯更新為預期的2%。好在OP 的通膨要在2023 年開始,所以沒有造成過多影響。
Optimism、Wintermute、Juno 加之X2Y2 都出現了地址或參數搞錯這樣的低級失誤,這告訴我們對於沒有回頭路的鏈上交易,還是要認真、小心為上。
提款金額誤錄賬戶號,用戶喜提千萬大獎
作為在FTX 申請破產後最先一批被FUD 的加密貨幣交易所,Crypto.com 通過公開儲備信息暫時「苟住了」,但今年這家交易所也做了一些「蠢事」。
第一件事雖然不是今年發生的,但時至今年仍未得到妥善解決。 2021 年5 月,兩名墨爾本女性用戶在加密交易所Crypto.com 進行100 澳元提款時收到了1050 萬澳元資金,直到2021 年12 月年度審計才被Crypto.com 發現。據Crypto.com 稱是一名僱員在付款時誤將賬戶號輸入為提款金額,導致大額資金錯誤地轉入其銀行賬戶,隨後Crypto.com 提起訴訟,維多利亞州最高法院於8 月裁定,這些資金必須退還給該公司。
數億美元資產被「轉錯」?
如果說第一件事還能理解,第二件事就顯得疑點重重。 11 月13 日,推特用戶@jconorgrogan 發推稱鏈上數據顯示Crypto.com 某地址曾於10 月份將約28.5 萬枚ETH 轉入交易所Gate.io 地址,隨後數天后Gate.io將其退回Crypto.com另一地址,但這兩個地址隨後均出現在Crypto.com公佈的離線儲存用戶資產的冷錢包地址名單中。 Crypto.com 首席執行官Kris 回復稱「這應該是一個新的冷錢包地址,但被發送到一個白名單的外部交易所地址。我們與Gate.io 團隊合作,資金隨後被退回到我們的冷錢包。為了防止這種情況再次發生,我們實施了新的流程和功能」。
從Kris 的說法看來,Crypto.com 曾經將價值數億美元的以太坊誤轉入了Gate.io。如果事實是這樣,只能說這樣的失誤實在太過離譜,可能會直接將Crypto.com 送走。但很多人猜測此舉可能是為儲備證明所做的拆借行為,真實情況可能只有當事雙方才知道。
為防被攻擊而提前攻擊自己
北京時間11 月4 日,Gala Games 通過pNetwork 跨鏈至BNB Chain 的代幣pGALA 突然暴跌至幾乎歸零。之後通過鏈上信息得知,一未知地址在BNB Chain 上憑空鑄造了價值10 億美元的pGALA 代幣並幾乎耗盡了pGALA/BNB 流動性池。
本來所有人都以為這是一次典型的黑客攻擊,直至2 天后……
北京時間11 月6 日,pNetwork 團隊注意到GALA 的pNetwork 跨鏈橋的一個配置錯誤。由於配置錯誤,部署在BNB Chain 上pGALA 智能合約的所有權已被黑客接管。該資金池涉及資金為40 萬美金,當時獲得該智能合約所有權的攻擊者並沒有發動任何攻擊。
之後,pNetwork 聯繫Gala Games 並決定暫停跨鏈橋,並通過白帽行動抽乾pGALA/BNB PancakeSwap 池流動性,以試圖保留BNB,以便在局勢得到控制後,資金可以返回到其所有流動性提供者。
隨後,就是我們所見到的大量增發以及價格暴跌。暫且不論pNetwork 耗盡流動性池的方式是否合理,但其因沒有第一時間站出來澄清此事,導致Huobi 因未即時關閉充值通道而被套利的事件。這樣自作聰明的行為確實不可取。
6 億美元被盜,項目方後知後覺
今年3 月,Axie Infinity 側鏈Ronin Network 被黑客攻擊,導致17.36 萬枚ETH 和數千萬枚USDC 總計價值逾6 億美元的資產被盜。攻擊者僅僅是轉移被盜資產就操作了近兩月之久。本次最終被懷疑是朝鮮黑客團隊所為,其通過虛假offer 入侵技術人員電腦從而控制了Ronin Network 的部分驗證節點,最終獲得了流動性資金的控制權。
該事件最令人疑惑的點在於,資金被盜事件發生在3 月23 日,而項目團隊直到29 日嘗試跨鏈時發現毫無流動性之時才反應過來資金被盜,也因此錯過了搶救被盜資金的最佳時機。最後雖然有部分資金被項目團隊、執法部門等攔截,但大部分的資金還是落入了黑客的口袋。
當然本次事件的先知先覺者也並沒有占到便宜,加密KOL Cobie 在項目方公開表示資金被盜後發推稱,6 天前發現Axie Infinity 側鏈Ronin Network 被盜6 億美元,並高槓桿做空AXS。因6 天來沒有人注意到黑客的存在,做空後24 小時內被清算。
烏克蘭:空投預期募捐第一國
很明顯,烏克蘭政府並不是Web3 項目方,但其利用空投預期吸引捐款的方式不得不說確實很專業。
時間回到年初,烏克蘭和俄羅斯之間爆發了一場不大不小的戰爭。隨後,烏克蘭政府本身和一些第三方開放了加密貨幣捐贈渠道。烏克蘭政府隨後表示將對捐贈者進行空投,並於北京時間3 月2 日宣布將於北京時間3 月4 日0:00 進行快照。宣布快照時間的當日,捐贈金額就超過了5000 萬美元,許多本身並沒有捐款意願的加密貨幣用戶,為了「空投」而參與了捐款大軍。
就在大家滿懷期待等著空投發放時,烏克蘭副總理Mykhailo Fedorov 在宣布快照時間的隔日在推特上表示,經過慎重考慮決定將取消空投,並將很快公佈用來支持烏克蘭武裝部隊的NFT 的發行計劃。
這一舉動雖然可能對本身就是希望幫助烏克蘭的人沒有影響,但卻讓為了空投捐款的人群大為不滿,之後烏克蘭政府又推出了多種多樣的「玩法」來進行募捐,但出爾反爾的行為明顯已經讓很多人不再感冒,並紛紛自嘲稱被「反擼」了。
APP 
