原文:

https://certik-2.hubspotpagebuilder.com/2022


原標題:HACK3D 2022 年WEB3.0 領域安全報告


作者:CertiK


本文來源:極客公園


2023 年1 月中旬,隨著中國農曆新年臨近,以比特幣、以太坊為代表的加密貨幣,在經歷了幾個月的蟄伏期後,經歷了一波「小漲」。連帶著因為FTX「暴雷」而一蹶不振的Web3 行業,重新煥發出一絲活力。


剛剛過去的2022 年,對於Web3 從業者來說是艱難的一年——從黑客攻擊、跨鏈橋失守,再到知名中心化交易所和投資機構相繼暴雷,整個Web3 行業也被拖入熊市。


從某種角度來看,安全問題,而不是「易用性」,已經成為Web3 行業最大的挑戰之一。


不久前,專門從事Web3 安全的創業公司CertiK 團隊,發布了2022 年Web3 安全報告。作為業內少有的專門針對Web3 行業提供安全解決方案的公司,CertiK 收到來自紅杉等知名機構的投資,目前估值已超過20 億美元,成為新晉的Web3 行業的獨角獸公司。


根據這份報告,整個2022 年,黑客從Web3 協議中盜取了價值37.7 億美元的資產,這還不算FTX、Terra 等中心化機構中暴雷,而讓用戶損失的上百億美元。


面對這樣的難題,Web3 創業團隊和公司,又該怎樣保障自己和用戶財產的安全?


下面是CertiK 推出的2022 Web3 安全報告正文,經極客公園編輯整理。


欲閱讀完整報告,可點擊鏈接進行申請下載:

https://certik-2.hubspotpagebuilder.com/2022


圖片來源:Pixabay



0 1


報告概述



2022 年對於整個數字資產行業來說是艱難的一年。在市場低迷的大環境下,65% 的數字資產市值化為烏有,而數量空前的黑客攻擊、詐騙事件和機構崩盤,讓本就損失慘重的投資者們雪上加霜。


從2022 年3 月Ronin Bridge 被盜6.24 億美元事件到11 月FTX 幾乎一夜崩塌,2022 年的損失規模創下了歷史之最。 2022 年Web3 協議的資產損失約為37.7 億美元,遠遠超過2021 年的13 億美元紀錄。


本報告將深入探究導致Celsius、BlockFi 以及FTX 等中心化交易所潰敗的各種因素。作為這些迅速重蹈行業覆轍的中心化機構的替代品,Web3 和基於開源區塊鏈的去中心化金融應用將會發揮重要作用,但僅憑這一點就期望Web3 走向大規模應用還不太現實。


雖然與2022 年中心化領域的破產規模相比,去中心化世界的損失相對較小,但其總額也有數十億美元之多。整個Web3 行業都需要對過去一年進行深刻反思,努力從這段艱難時期中尋求一線生機。


雖然不安全的協議仍在不斷造成損失,但這並不能否定Web3 所具有的真正價值。如今,各類資產的估值普遍下降,人們的狂熱情緒也逐漸平息。由此我們可以退一步審視現狀,並在一個更加堅實的基礎上建設這個行業。


除了回顧2022 年發生的主要黑客攻擊和漏洞事件外,本報告也將展示CertiK 公開的獨家安全研究,以履行其守護Web3 世界的使命。



0 2


「中心化」之殤



FTX「一夜崩塌」



2022 年以來,許多知名數字資產企業的消亡給整個行業都蒙上了陰影。雖然這些企業全都從事數字資產買賣、借貸和交易業務,但當我們為其貼上相同標籤之前,應該考慮一下,這些已然倒閉的企業是否真正可以被歸類為數字資產公司。


可以肯定的是,導致這些企業失敗的原因更多是源於他們的商業運營模式,而不是他們所管理的資產。


中心化數字資產企業(也被稱為CeFi,意為「中心化金融」,與「去中心化金融」DeFi 相反)的致命缺陷就隱含在其名稱中:它們在具有單點控制的中心化系統上運行,而這恰恰引發了2022 年我們所目睹的單點潰敗。


接下來的故事多少有些悲劇性的諷刺色彩。在2022 年2 月份的超級碗比賽期間(Super Bowl,美國國家橄欖球聯盟年度冠軍賽),FTX 曾向數百萬的觀眾推銷數字資產的概念,並聲稱數字資產是「下一個大事件」,並暗示不參與其中的人就像廣告中所扮演的傻瓜那樣會錯失一切。


然而,FTX 背地裡卻將用戶的存款發送至該公司所謂的「非內部」但實際為內部的交易部門——Alameda,該部門很快就在投資上損失了數十億美元,這也嚴重違反了該交易所的服務條款。


關於FTX 非流動性資產負債狀況的驚人消息很快不脛而走,典型的銀行擠兌事件也隨即爆發。如果一家交易所按1:1 的比例保留存款資金,且不在未經許可的情況下進行重新抵押或出借,那麼它或許就能經受住這次考驗。但FTX 的情況並非如此。


FTX 前首席執行官Sam Bankman-Fried 曾策劃了一連串極其奢華的收購、贊助和救助活動,因此也令FTX 的垮台也更加令人難以置信。


比如另一家現已倒閉的CeFi 公司Voyager Digital 在申請破產後就宣布FTX 成功收購了其資產,然而在FTX 閃電式崩盤後只能再次申請破產,這些突如其來的事件全部發生在了2022 年下半年。


FTX「暴雷」讓Web3 行業在熊市中雪上加霜|The Block


FTX 和Three Arrows Capital 等公司的倒閉確實打擊了許多大型投資機構,但受傷最嚴重的還是大量的普通散戶。鋪天蓋地的營銷、公眾人物代言和個人崇拜使他們將信任投放在了錯誤的平台,並為此付出了慘痛代價。


之所以說受傷散戶的比例很高,是因為在Voyager 平台上,97% 的用戶資產都不到1 萬美元。其中許多誤認為CeFi 平台更加安全的用戶,其資產現已蕩然無存。他們認為把資產存入CeFi 平台更加放心,收益也更高,同時避免了去中心化平台的智能合約所帶來的高入門門檻以及各種風險。


雖然這些教訓讓人們非常痛苦,但其實也是必不可少的一課。數字資產的核心原則是自我監管和自主權(Self-Custody and Self-Sovereignty),所以將用戶的資產控制權交給中心化平台也就違背了以上原則。這些平台完全有可能不遵守其服務條款,而你也無從得知你的資產正被平台如何利用。


此外,你無法驗證平台的財務健康狀況,也不能追踪資產的流向來了解字面上的收益來源,以及所要承擔的風險,一切都只是建立在用戶的盲目信任和信念之上,而2022 年所發生的事件也證明了其結果:看似安然無恙的開端,最終卻墜入了滿目瘡痍的結局。



Terra 崩盤



2022 年影響最大的事件之一是Terra 的崩盤,其450 億美元的市值在幾天內化為泡影。


與Tether、USDC 和BUSD 等穩定幣不同,算法穩定幣並非依靠與美元1:1 的錨定比率來維持穩定,而是通過其內部機制來維持貨幣錨定。具體來說,算法穩定幣通過智能合約設定的鑄幣及銷毀功能來維持其基本價值。


以Terra 的UST 穩定幣為例,UST 與另一項獨立的數字資產Luna 掛鉤,UST 的持有者隨時可以把他們的資產兌換成等值的LUNA。在5 月初,LUNA 的交易價格為85 美元,此時一個UST 穩定幣可以交易0.0118 枚LUNA。


假如UST 的交易價格跌破其設定的1 美元門檻,做市商們隨即會把大量UST 兌換為LUNA 以縮小二者間的價值缺口。其原理是在降低UST 供應量的同時,提升對LUNA 的需求,也就是通過提高支持該穩定幣儲備資產的價格,來維持貨幣錨定的穩定。


5 月7 日,鏈上分析顯示UST 被大量拋售,8500 萬的UST 被兌換成了8450 萬USDC,這直接導致了UST 首次脫鉤美元。受此影響,5 月8 日UST 的價格跌至0.985 美元的低點。


為了讓UST 重新錨定美元,Luna Foundation Guard(LFG)部署了價值7.5 億美元的比特幣,以協助做市商們維持UST 價格的穩定。在市場環境恢復正常後,LFG 又回購了價值7.5 億美元的比特幣。


Terra 和LUNA 之間的機制在危機面前迅速崩潰|Bitnovo


然而令人意想不到的是,5 月9 日UST 的價格竟然跌至0.65 美元的更低點。 UST 的再次脫鉤隨之引發了LUNA 的價格震動,其價格驟跌至35 美元,跌幅超過44%,而這又使得LUNA 與UST 之間的市值脫鉤,從而危及其作為穩定儲備資產的功能。因為此時的LUNA 生態系統已經沒有足夠的價值來抵押所有正在流通的UST 了。


從這時開始,LUNA 和UST 之間的微妙平衡開始瓦解。


然而禍不單行,Terra 創建者Terraform Labs 的首席執行官Do Kwon 被曝是此前失敗的算法穩定幣Basis Cash 背後的匿名聯合創始人之一。有指控稱,在經歷了價值脫鉤和數十億美元的損失後,Do Kwon 挪用了價值約6700 萬美元的比特幣,卻並未將其用於維護貨幣錨定。韓國檢察官已對Do Kwon's 發出逮捕令,但其目前仍然在逃。


Terra/LUNA 的這次歷史性的崩盤讓整個區塊鏈生態系統措手不及,從業者們和用戶不得不停下來思考此次事件對Web3 的未來產生的深刻影響。



去中心化是答案嗎?



相對於中心化平台,而Aave 等DeFi 平台的持續成功,為去中心化商業模式提供了正面的素材支持。用戶可以實時驗證Aave 的償還支付能力,了解儲戶賺取的收益來自哪裡。而該平台的清算過程,根本不允許出現最終導致Celsius 倒閉的風險。


與中心化金融平台相比,DeFi 明顯具有多方面的優勢。


不過為Web3 提供動力的智能合約在某種程度上也不是無懈可擊的:DeFi 協議也有屬於自己的一系列風險,比如智能合約的編寫不規範會引入一系列的漏洞,而黑客們已經發現並利用了這些漏洞,在2022 年竊取了高達30 多億美元的資金。


或許這就是Web3 世界的意義:建立在開源區塊鏈上的去中心化應用,為不透明的中心化機構世界提供了強有力的替代,同樣也為具有眾所周知缺陷的金融運作方式提供了真正的替代。


使用過Aave 的用戶可能知道,該平台是無法違背其服務條款的,因為這些條款被寫入了管理其運作的智能合約,就如同一個準則被寫入了DNA 一樣;在Pancake Swap 平台上交易的用戶也不需要擔心他們的資產控制權有可能被轉移給平台,因為所有交易都在區塊鏈上被公開透明地執行;雖然各種高收益率的Yield 產品可能會使用戶承擔相當大的風險,但這也取決於Yield 產品的特性和策略。無論如何用戶可以隨時看到他們資產的去向以及收益率的獲得方式,一切將公開透明。


去中心化金融DeFi 比CeFi 在機制上更可靠,但依然有安全挑戰|BAP Solution


雖然以上所述確實給用戶帶來了更多的盡職調查負擔,但Web3 模式相較中心化平台還是有著不可比擬的優勢,許多中心化金融(CeFi)的崩潰故事在去中心化的環境中根本不可能發生。


然而,Web3 在實現其全部潛力和被認為是CeFi 的真正替代之前,還有一段路要走。


值得思考的是:為什麼數以百萬計的用戶願意將數十億美元「託付」給這些中心化組織?


或許是因為中心化組織提供了一個流程簡化的服務,並且消除了自我保管的風險。除此之外,他們也提供更大的流動性和更豐富的金融產品,並提供支持與服務平台以便及時幫助用戶解決遇到的問題。最後,別忘了黑客僅2022 年就利用去中心化協議的漏洞獲得了數十億美元的收益,這也是為什麼更多人選擇相信中心化的平台。


如果想要走的更遠,Web3 需要在兩個主要方面進行改進:可用性和安全性。


可用性: 要了解如何使用某DeFi 平台,有時候甚至需要花上數小時去研究,而這僅僅還是資金投入之前。想要研究透徹多個平台,甚至可能會花上幾天。


安全性: 雖然DeFi 在2022 年的損失可能比CeFi 少,但從Web3 中流失的價值仍然有數十億美元。通過對2022 年主要事件的總結,我們希望能夠喚起人們對Web3 仍需改進的領域特別是安全方面的關注。只有重新致力於基本理想和回歸初心,我們才能建立一個完整的替代性產品,為每個人提供真正自由和公平的金融系統。



0 3


黑客兇猛



2022 年,針對跨鏈橋的攻擊事件共導致了13 億美元的損失,這個數字佔據了過去12 個月總損失金額的36%。僅其中三起事件就佔據了整個跨鏈橋資產損失的87%,這也凸顯了跨鏈橋攻擊會帶來的巨大風險。


跨鏈應用大多具有極其複雜的技術結構,同時也包含了各種攻擊載體。其複雜性能夠為其提供更廣泛的功能,但代價是會暴露更多的攻擊面。


Play-to-earn 最火的遊戲Axie Infinity 遭到了黑客攻擊|Play to Earn



Ronin 損失6.25 億美元



Ronin Bridge 事件可以說是DeFi 領域有史以來最大的攻擊事件/漏洞。 3 月23 日,為Web3 遊戲Axie Infinity 建立的側鏈被黑客攻擊,超過173,600 枚ETH 和2,550 萬USDC(總價值6.25 億美元)受到損失。


Nomad 的報告顯示,黑客設法獲得了保護網絡的五個驗證節點私鑰,並且有證據表明攻擊者是黑客組織Lazarus Group。該組織利用先進的魚叉式網絡釣魚攻擊來獲取私鑰,在榨乾資產後,攻擊者通過Tornado Cash 和中心化交易所(包括FTX 和Huobi)將贓款洗白。


Wormhole 損失3.26 億美元



2 月2 日,Wormhole Bridge 被黑客攻擊,損失了價值3.26 億美元的資產。攻擊者通過注入假的sysvar 賬戶來繞過驗證檢查,讓他們可以藉此輸出惡意信息,並被Bridge 接受。攻擊者通過調用帶有惡意信息的complete_wrapped 函數,成功鑄造了12 萬枚WETH。


鑄幣兩分鐘後,攻擊者將1 萬枚ETH 橋接到以太坊區塊鏈上。大約20 分鐘後,以太坊區塊鏈上又進行了8 萬枚ETH 的交易。截至2022 年底,這些被盜資金仍存放在攻擊者的錢包。


Nomad 損失1.9 億美元



8 月1 日,Nomad Bridge 被利用,損失價值約1.9 億美元。攻擊者利用了初始化過程中的一個漏洞——即部署合約時將合約參數committedRoot 初始化為零。這個漏洞可以使攻擊者繞過消息驗證,從而耗盡橋接合約中持有的token。攻擊者只要在一條鏈上存入ETH(比如0.1 甚至0.0001 枚ETH),就可在另一條鏈上收到任意數量的ETH。


而值得注意的是,由於攻擊流程很快就被公開了,而資金還在Bridge 中,因此至少有41 個錢包複製了這一攻擊流程。結果導致Nomad Bridge 幾乎全軍覆沒,其總鎖倉價值(TVL)在幾分鐘內從1.9 億美元驟降至1.2 萬美元。


大鱷和釣魚



Lazarus Group 一直是數字資產領域最持久、最有效的威脅者之一。除了讓他們淨賺5 億多美元的Ronin Bridge 漏洞外,這個黑客組織在2022 年還進行了多次有利可圖的攻擊。最值得關注的是Operation In(ter)ception,Gate.io 漏洞,和Harmony Horizon Bridge 攻擊。


In(ter)ception 行動是一個由Lazarus Group 實施的求職欺詐廣告計劃,Lazarus 在LinkedIn 等網站上發布工作機會,要求申請者下載一個部署有可執行文件的PDF 文件,然後這個惡意軟件使Lazarus 的操作人員能夠針對受害者係統中的漏洞,竊取業內員工的敏感信息。


Lazarus Group 的活動反面襯託了Web3 行業中構建和運營時安全的重要性。而DeFi 平台想要足夠安全,不僅要能抵禦來自無良Solidity 開發者的攻擊,同時還能抵禦來自世界上最有效的黑客的攻擊。否則,持有數億美元用戶資金的智能合約將繼續成為攻擊目標。


另一方面,網絡釣魚攻擊仍是Web 3 領域的持續威脅,而且欺詐者們的騙術也隨著道高一尺魔高一丈而變得越來越高超精湛。目前已有數百萬美元價值的資產因為網絡釣魚而被盜。不僅是社群,個人用戶也成為了惡意軟件和惡意者的目標。新型網絡釣魚方式層出不窮,而他們的詐騙行為均是利用了區塊鏈的不可逆性以及用戶的經驗缺乏。


比如最近新出的一種網絡釣魚方式,被稱為Ice Phishing 騙局,通俗一點理解就是空手套白狼。


它與傳統網絡釣魚攻擊不同,是Web3 獨有的攻擊類型。傳統網絡釣魚通常會通過一些手段獲得如私鑰或密碼等個人信息,而Ice Phishing 則更多是為了欺騙用戶簽署權限,並授予惡意者任意花費其資產,但又無需獲取用戶的私鑰。


Ice Phishing 對Web3 的投資者來說是相當大的威脅,因為與DeFi 協議的互動需要用戶授予某些權限,而簽名到底授予了哪些權限人們並不總是百分之百清楚。


圖片來源:InfoSec



0 4


Web3 壓力測試



2022 年,數字貨幣的市值損失了數万億美元,數百億美元被封鎖在中心化機構已破產的程序中,而去中心化的協議損失了30 多億美元,因此2022 年的美好景像已很難描繪而出。


由於形勢的極端動盪,許多Web3 頭部大型參與者已經消失在歷史中,這包括了那些我們曾經以為無懈可擊的項目或平台。不過倖存的大多數Web3 應用程序和平台仍在危機中緩緩前進,目前來看一切尚還維持著常態。


過去的12 個月對整個行業都是一個重大的壓力測試,並不是所有的人都挺過來了。但是「殺不死你的會讓你變得更強大」,倖存者將吸取往日的教訓,搏出更具潛力的前景。


開源、去中心化的系統為用戶提供了真正的好處,可以使互聯網成為一個更自由、更公平的地方,這是在建設數字未來時要牢記的願景。但是,當你的資產可能在頃刻之間被盜時,公平和自由就毫無意義可言了。這就是為什麼安全是至關重要的因素。而CertiK 端到端的安全解決方案,為用戶和建設者提供了他們需要的工具,使得用戶可以安全地瀏覽新興的Web3 世界。


安全是一種選擇,為了將Web3 的優勢帶給最廣泛的用戶群體,我們無疑需要做出這種選擇。


2022 年是艱難的一年,但艱難的時刻已經過去。現在正是時候以全新且樂觀的態度展望行業的未來。



中文推特: https://twitter.com/8BTC_OFFICIAL

英文推特:https://twitter.com/btcinchina
Discord社區:https://discord.gg/defidao
電報頻道:https://t.me/Mute_8btc
電報社區:https://t.me/news_8btc