2022 年第四季度的主要事件想必无人不知,而这也是能够被载入 Web 3.0 史册的事件:FTX 的急转直下,近乎于一夜之间崩塌。虽然该事件在导火索被点燃前已有了明显的倾塌征兆,但因其毕竟是行业内的第二大中心化交易所,FTX 的倒台无疑还是震惊了许多人。
我们在此也会为大家简单剖析一下这次事件造成的原因,以及使这种欺诈行为得以发生的非 Web 3.0 商业模式的独特特征。
FTX 事件让数十万,甚至数百万的用户的数十亿美元资产无法提取从而变成永久性损失。随着人们的注意力从 Web 3.0 平台遭受的持续损失上转移开,DeFi 在相比之下出现了一段“缓和期”。中心化交易所和服务永远无法如去中心化的应用程序一般成为 Web 3.0 持续运转的关键。
因此如果 Web 3.0 要发挥其真正的潜力,就需要百分百执行安全审计。本报告将分析过去三个月里 Web 3.0 世界中最主要的几起安全事件。
若想要回顾 2022 全年的情况,请持续关注 CertiK 官方公众号,我们随后将发布《 2022 年度Web3.0 行业安全报告》。
① 2022 年第四季度,恶意攻击者从 Web 3.0 领域中盗取了约 9.5 亿美元的资产。
② 这一数字相比今年第一季度损失的 13 亿美元峰值有所下降,但较于第三季度损失的 5.04 亿美元增加了 88% 。
③ 仅 11 月的资产损失就占据了第四季度总损失的 50% 以上,主要资产损失来自于 FTX 钱包在该交易所崩溃期间损失的约 5 亿美元。
④ 第四季度发生了 78 起退出骗局,共盗取了约 5268 万美元, 37 起闪电贷与预言机操纵的漏洞共造成了约 1439 万美元的损失。
⑤ 整个 2022 年 Web 3.0 领域的安全形态仍为大规模攻击占据主要资产损失,仅三个独立的跨链桥漏洞就造成了约 1.1 亿美元的损失。
⑥ 第四季度 CertiK 审计的 Web 3.0 项目数量仍在持续上升,目前审计的项目总数已达到了 5046 个。
FTX,作为曾经的第二大中心化加密货币交易所,日落后已燃尽余辉。曾几何时,Sam Bankman-Fried(山姆·班克曼-弗里德)的面孔还出现在世界各地的广告上。在过去的这段时间,有无数记者们以 Sam 为主题撰写了文章。迈阿密热火的主场场馆甚至也已被 FTX 冠名(由 AmericanAirlines Arena 改为了 FTX Arena),冠名合约有效期至 2040 年。直到今年 11 月初,FTX 还在高歌猛进,
然而这一切都在一周之内轰然倒塌,化为泡影。目前,Sam 缴纳了 2.5 亿美元的高额保释金后保释出狱,两名 Alameda 公司的高级管理人员承认检方指控犯罪事实,并同意配合对其前老板的起诉。
FTX 总部设立于巴哈马,虽然没有人知道美国法院将如何对其采取行动,但是我们可以在此先将该事件的始末进行初步梳理⬇️:
11 月 2 日:CoinDesk 发布了一篇文章,表达了对 Alameda Research 资产中由 FTT(FTT 是 FTX 创建的交易所 token)组成比例的担忧。
11 月 6 日:Binance 首席执行官赵长鹏“CZ”表示,他将出售 Binance 总额为 5.8 亿美元的 FTT 持股,这些持股来自他对 FTX 的早期投资。
Alameda Research 首席执行官 Caroline Ellison 现在已经承认了两项电信欺诈罪和五项共谋罪,涉及电信、证券和商品欺诈以及洗钱:为 CZ 提供了一个场外交易。
原文大致翻译如下:根据企业尽职调查的结果,以及关于客户资金处理不当和涉嫌美国机构调查的最新新闻报道,我们决定不再对 http://FTX.com 进行潜在收购。
与此同时,美国证券交易委员会(SEC)和司法部(DoJ)对 FTX 展开调查。
11 月 10 日:巴哈马证券委员会冻结了 FTX 并任命了清算人。
11 月 11 日:FTX 按照美国破产法第 11 章申请破产。Sam Bankman-Fried 辞去首席执行官一职,由曾管理 Enron 公司破产程序的 John J. Ray III(约翰·雷三世)接任。
11 月 12 日:《华尔街日报》报道,FTX 将客户的存款交给 Alameda Research,以帮助其履行债务偿还责任。而 Alameda 的高管知道这一协议其实违反了 FTX 的服务条款。
大约有 5 亿美元的 FTX 资产被从平台转出。有传言说巴哈马政府曾指示撤出资产,但随后该政府否认了这一说法。
11 月 14 日:纽约的联邦检察官对欺诈指控展开调查。
11 月 16 日:美国立法者要求 Sam Bankman-Fried 以及 Alameda 和 Binance 的高管在 12 月的国会山听证会上作证。
11 月 17 日:即将上任的 FTX 首席执行官 John J. Ray III 在一份法庭文件中说:“在他的职业生涯中,包括在 Enron 丑闻期间,他从未见过失败的如此透彻的公司管理控制。”这包括“系统的完整性受到损害,国外监管存在缺陷,以及控制权集中在极少数没有经验、不成熟和不良信誉的个人手中。”
12 月 12 日:在纽约联邦检察官提出刑事指控后,Sam 在巴哈马被捕。
12 月 13 日:美国证券交易委员会指控 Sam Bankman-Fried 诈骗投资者。
12 月 20 日:在被拘留 8 天后,Sam Bankman-Fried 同意被引渡到美国。
12 月 27 日:据彭博社报道,美国司法部已对 11 月 FTX 价值数亿美元资产遭到提取一事展开调查。
目前,Caroline Ellison 和 Gary Wang 已经承认了联邦指控,其欺诈行为已被证实。
如果想通过收听方式了解更多 FTX 事件始末及细节,请复制以下链接至浏览器 https://m.ximalaya.com/sound/590419909? from=pc
播放 CertiK 首席运营官曹亚昕博士关于《FTX 极速坠落》的专访节目。
以去中心化为荣的 Web 3.0 世界,为何会出现如此问题?
其实,FTX 并不是一家 Web 3.0 货币公司。它是一个允许进行数字资产交易的中心化平台。它依赖于用户对平台遵守其服务条款的信任,而高管层则恶意利用了这种信任。
那么有更好的解决方案吗?
当然。与 FTX 这样的中心化交易所相对应的则是 Web 3.0 行业中的去中心化交易所(DEX)。而 FTX 管理层的欺诈行为在 DEX 中可以说是几乎不可能实现的。因为资金流动公开透明,用户的存款不可能被秘密转移到某些交易公司。
因此,开放的 Web 3.0 协议可作为 FTX 事件的解决方案,而其也不该被抹上与欺诈性中心化交易所相同的污点。
不过,目前 Web 3.0 解决方案尚未进入黄金时代。如上文所述,仅 2022 年第四季度,就有约 10 亿美元的资产从生态系统中不翼而飞。在 Web 3.0 世界能够实现其安全、自由和公平的生态系统供所有人使用的承诺之前,安全标准需要不断提高。
下面就让我们来看一下第四季度最大的漏洞事件之一:Mango Markets 事件。该事件凸显了在构建 Web 3.0 协议时平台需谨慎设计的重要性。
而这一攻击事件即是利用了该协议的组成部分。
推特用户 Avraham Eisenberg 公开声称自己参与了 Mango Markets 的漏洞攻击,并暗示了还有其他未知人士同他一起操作。这些人利用了大量资金来操纵 Mango Markets 协议。
2022 年 10 月 11 日,攻击者们在 Mango Markets 上夸大了他们的抵押品价值,并针对这些资金进行了大量贷款。
攻击者们用 500 万美元的 USDC 为钱包 CQvKSNn(账户 A)提供资金,然后在订单簿上铸造了 4.83 亿份的 MNGO 永续合约。
随后,攻击者们向第二个钱包 4 ND 8 FVPj(账户 B)提供资金,并用它以每单位 0.0382 美元的价格购买 4.83 亿单位的 MNGO。因此,攻击者能够将 MNGO 的价格提高到 0.91 美元,也因此能够让账户 B 借到更多资金。账号 B 以 MNGO 作为抵押品,借出了 1.16 亿美元的贷款,此时 Mango 的流动性被耗尽:账户 A 有大约有 11, 537, 729.05 美元的债务无法收回,账户 B 有大约 1.15 亿美元的借贷 token。
Eisenberg 声称他的团队执行了一个“高利润的交易策略”,使 Mango Markets 陷入破产,但他也指出,他有兴趣归还一部分用户资金。Mango Markets 团队最终与攻击者进行了谈判,攻击者在 10 月 20 日 DAO 治理投票后归还了 6700 万美元。剩下的被盗资金被转移到钱包 Hy 4 ZsZk,随后被进一步转移。目前该钱包仍持有约 274 万美元资产。
原文大致翻译如下:开发团队部分忽略了以这种方式设置参数的后果和风险。但我相信我们所有的行为都是合法的公开市场行为,也是按照设计使用协议。
遭遇攻击耗尽其流动性的项目很少有机会翻身,Mango Markets 是否会恢复犹未可知。Mango Markets 网站称,他们将部署第四个版本的平台,其中包括已更新的安全和风险缓释策略,不过相关细节还没有被公布。
目前,Mango Markets 的 Discord 仍具有活跃度,每隔几天就会有用户要求提供关于第四版部署的信息,其管理员也处于活跃在线状态。不过目前这个阶段,该团队似乎没有通报发布日期或与他们计划有关的其他信息。
在 Mango Markets 事故的后期,Avraham Eisenberg 在波多黎各被捕,并于 12 月 27 日被司法部指控商品欺诈和商品操纵。此案的结果将成为美国 DeFi 监管的一个里程碑事件。
FTX 如过山车一般的故事正是 Web 3.0 试图要避免的:信任本不应该轻信的机构、缺乏透明度、公然欺诈……
而 2022 年对投身于 Web 3.0 市场的人来说,或许是比较煎熬的一年。除了 FTX 的崩塌以及其造成的连锁反应使行业中的一些大企业倒闭之外,整个 Web 3.0 市场的行情和整体价格都相对低迷。
但 2023 年或许是一个新的机会。让我们回到初心,专注于真正重要的事情:建立安全、透明、开源的应用程序,将权力交还给用户。Web 3.0 也需要从写进区块链永久历史的教训中学习,通过安全协议设计、部署前代码审计和部署后监控来提高整个行业的安全水准。
无论何时,安全对于用户、开发者和整个行业的未来都是至关重要的。
目前 CertiK 安全排行榜已全面升级为安全排行榜 360 ,为数以千计的榜上项目提供完整而即时的安全状况“全景图”。由于整个系统进行了全面的更新,用户访问和分析这些安全数据将前所未有的便捷。此外,我们还利用量化工具为个人投资者提供合理的决策建议。欢迎访问 certik.com 了解详情。
Skynet 天网动态扫描系统可结合链上交易监测与链下数据(如社会舆情),对数百个 Web 3.0 平台进行实时、全面的安全监测和分析。Skynet 天网动态扫描系统高级版 Skynet Premium 由 CertiK 于 2021 年正式推出,其威胁检测模型会通过机器学习与不断变化的智能合约风险环境同步进化。这也意味着,随着威胁情报库和智能合约漏洞库的不断积累,这一平台也会变得愈发先进,从而适应变化无常的智能合约风险环境。目前 Skynet 天网动态扫描系统已全面升级,添加了更多维度的 Skynet 天网信任评分及专属于项目的项目亮点和预警等全新功能。
SkyTrace则是一种智能、直观的追踪工具,可帮助分析和可视化以太坊和 BSC 钱包的交易数据。该工具为识别和追踪进出自己的个人钱包或项目团队钱包的可疑流量提供了深入的分析。
CertiK KYC 项目背景调查服务可为项目团队提供身份验证,包括使用基于 AI 的检测系统进行 ID 真实性检查,以确保个人身份真实并与 ID 相匹配。除了在身份验证过程中进行实时有效性检查外,CertiK 还将与每个项目团队成员进行实时视频沟通,以验证他们的身份和其他必要参数。由于团队的匿名性越来越高,项目的风险行为也越来越具有可能。除此之外,CertiK 安全排行榜赋予通过 KYC 调查的项目团队以青铜、白银、黄金等级的 KYC 徽章,最大程度上使项目团队去匿名化,建立更完善的问责制,从而增强项目的可信度。
CertiK 于近期推出的漏洞赏金计划招募并遴选了一批世界顶级的白帽黑客,收集情报以在恶意行为者利用漏洞之前将其及时发现。CertiK 的安全专家团队将负责筛查和鉴定所有提交材料,并协助客户进行正确的修复。我们的 0% 费用模式降低了项目团队的支付负担,白帽黑客可因此获取全额赏金。
CertiK 致力于守护Web3.0 世界,将以安全数据为重心,持续分析Web3.0 的安全未来及发展。助力用户远离“土狗”以及人为踏空,以科技赋予科技价值和载舟之路。
该报告 PDF 版本已收录并生成链接,欢迎下载查阅。
下载方式⬇️
复制链接至浏览器即刻下载:
https://certik-2.hubspotpagebuilder.com/2022-q4-web3-0