币价上涨，活力恢复，但Web3最深的“雷”还在

报告概览

2022年对于整个数字资产行业来说，将是艰难的一年。 在市场低迷的大环境下，数字资产65%的市值化为乌有，前所未有的黑客攻击、欺诈事件和机构倒闭事件，让本已损失惨重的投资者雪上加霜。

从 2022 年 3 月浪人桥 6.24 亿美元被盗，到 11 月 FTX 几乎一夜之间崩盘，2022 年的损失规模创历史之最。 Web3 协议在 2022 年的资产损失约为 37.7 亿美元，远超 2021 年 13 亿美元的记录。

本报告将深入探讨导致 Celsius、BlockFi 和 FTX 等中心化交易所崩溃的各种因素。 Web3 和基于开源区块链的去中心化金融应用将作为替代这些正在迅速重蹈行业覆辙的中心化机构的重要角色，但仅凭这一点期望 Web3 走向规模化并不现实。

尽管与 2022 年中心化领域的破产规模相比，去中心化世界的损失相对较小，但总计仍达数十亿美元。 整个 Web3 行业都需要对过去的一年进行深刻反思，并努力在这个困难时期寻找一线希望。

虽然不安全的协议继续造成损失，但这并没有否定 Web3 的真正价值。 如今，各类资产的估值都在普遍下跌，人们的热情也在逐渐消退。 这让我们可以退一步，审视现状，在更坚实的基础上建设行业。

除了审查 2022 年的重大黑客攻击和漏洞外，本报告还将展示 CertiK 的公开和独家安全研究，以履行其保护 Web3 世界的使命。

“中心化”的悲剧

FTX“一夜崩盘”

2022年以来，多家知名数字资产公司的倒闭，给整个行业蒙上了一层阴影。 虽然这些业务都是从事数字资产的买卖、借贷和交易业务，但在我们给它们贴上同样的标签之前，我们应该考虑一下这些倒闭的业务是否真的可以归类为数字资产公司。

可以肯定的是，这些企业的失败与他们的商业运营模式有关，而不是与他们管理的资产有关。

中心化数字资产公司（也称为 CeFi，意思是“中心化金融”，而不是“去中心化金融”DeFi）的致命缺陷隐含在它们的名字中：它们在具有单一控制点的中心化平台上运行。 系统，这是触发我们在 2022 年目睹的单点故障的原因。

接下来的事情有点悲剧性的讽刺意味。 2022年2月超级碗（Super Bowl，全美橄榄球联盟年度冠军赛）期间，FTX曾向数百万观众宣传数字资产的概念，并宣称数字资产是“下一件大事”，并暗示不参加的人就像广告里的傻子一样，什么都错过了。

然而，FTX 偷偷将用户存款发送给该公司所谓的“非内部”但内部交易部门 - Alameda - 迅速损失数十亿美元的投资，这也是一种严重的违规行为。 交易所的服务条款。

有关 FTX 资产负债表流动性不足的令人震惊的消息迅速传开，典型的银行挤兑接踵而至。 如果一个交易所保持存款资金 1:1 并且不在未经许可的情况下进行二次质押或借出，它可能会在这次测试中幸存下来。 但 FTX 并非如此。

FTX 前首席执行官山姆·班克曼-弗里德策划了一系列奢侈的收购、赞助和救助，使 FTX 的垮台更加令人难以置信。

例如，另一家现已倒闭的 CeFi 公司 Voyager Digital 宣布 FTX 在申请破产保护后成功收购其资产。 但在FTX闪崩后不得不再次申请破产。

FTX“暴雷”让熊市中的Web3行业雪上加霜｜The Block

FTX、三箭资本等公司的倒闭，确实打击了不少大型投资机构，但受伤害最大的还是广大普通散户。 铺天盖地的营销、公众人物代言和个人崇拜，让他们信任了错误的平台，并为此付出了高昂的代价。

之所以受害散户比例高，是因为在Voyager平台上，97%的用户资产都在1万美元以下。 这些错误地认为 CeFi 平台更安全的用户中有许多现在已经失去了资产。 他们认为将资产存放在CeFi平台上更安全，收益更高，同时避免了去中心化平台上智能合约的高准入门槛和带来的各种风险。

虽然这些教训对人来说是非常痛苦的，但实际上却是必不可少的教训。 数字资产的核心原则是Self-Custody and Self-Custody and Self-Sovereignty（自托管和自主权），将用户资产的控制权交给一个中心化平台违背了上述原则。 这些平台完全有可能不遵守他们的服务条款，你无从知道平台如何使用你的资产。

此外，您无法验证平台的财务状况，也无法跟踪资产流向以了解收入的实际来源和您必须承担的风险。 一切都建立在用户的盲目信任和信念之上，2022 年和 1980 年代的事件见证了这样的结局：看似安全的开始，最终却是灾难性的结局。

Terra 崩溃

2022 年最具影响力的事件之一是 Terra 的崩溃，它在几天内抹去了其 450 亿美元的市值。

与Tether、USDC、BUSD等稳定币不同，算法稳定币不依赖与美元1:1的挂钩比例来维持稳定，而是通过其内部机制维持货币挂钩。 具体来说，算法稳定币通过智能合约设定的铸币和销毁功能来维持其基础价值。

以 Terra 的 UST 稳定币为例。 UST 与另一个独立数字资产 Luna 相关联。 UST的持有者可以随时将其资产兑换成等值的LUNA。 5 月初，LUNA 的交易价格为 85 美元，此时 1 个 UST 稳定币可以换取 0.0118 LUNA。

如果 UST 的交易价格低于其设定的 1 美元门槛，则做市商将大量 UST 兑换成 LUNA，以缩小两者之间的价值差距。 原理是增加对LUNA的需求，同时减少UST的供应，即通过提高稳定币储备资产的价格来维持币锚的稳定。

5月7日，链上分析显示，UST大量抛售，8500万枚UST兑换成8450万枚USDC，直接导致了UST首次脱钩。 受此影响，5月8日UST价格跌至0.985美元的低点。

为了让 UST 重新锚定美元，Luna Foundation Guard (LFG) 部署了价值 7.5 亿美元的比特币，以协助做市商维持 UST 价格稳定。 在市场恢复正常后，LFG 又回购了价值 7.5 亿美元的比特币。

Terra与LUNA之间的机制在危机面前迅速崩溃｜Bitnovo

然而出乎意料的是，5月9日，UST价格跌至0.65美元的低点，UST的重新脱钩引发了LUNA的价格震荡，其价格暴跌至35美元，跌幅超过44%，反过来使 LUNA 和 UST 之间的市场价值脱钩，从而危及其作为稳定储备资产的功能。 因为此时的LUNA生态还没有足够的价值来抵押所有流通的UST。

从此，LUNA和UST之间微妙的平衡开始瓦解。

然而，祸不单行，因为 Terra 的创建者 Terraform Labs 首席执行官 Do Kwon 被揭露是之前失败的算法稳定币 Basis Cash 背后的匿名联合创始人之一。 据指控，在价值脱钩和数十亿美元的损失之后，Do Kwon 挪用了价值约 6700 万美元的比特币，而没有使用它来维持货币的挂钩。 韩国检方已对 Do Kwon 发出逮捕令，但他仍逍遥法外。

Terra/LUNA 的这次历史性崩盘让整个区块链生态措手不及，从业者和用户不得不停下来思考这次事件将对 Web3 的未来产生的深远影响。

权力下放是答案吗？

与中心化平台相比，Aave 等 DeFi 平台的持续成功为去中心化商业模式提供了积极的物质支持。 用户可以实时验证 Aave 的还款能力，了解存款人的收入来源。 并且平台的清算过程不允许存在最终导致 Celsius 崩溃的风险。

与中心化金融平台相比，DeFi 显然有很多优势。

然而，为 Web3 提供动力的智能合约在某种程度上并非无懈可击：DeFi 协议也有其自身的一系列风险。 这些违规行为在 2022 年窃取了超过 30 亿美元的资金。

也许这就是 Web3 世界的意义所在：建立在开源区块链上的去中心化应用程序，为不透明的中心化机构世界提供了强大的替代方案，并为臭名昭著的金融运作方式提供了真正的替代方案。

使用过 Aave 的用户可能知道该平台不能违反其服务条款，因为这些条款被写入管理其运营的智能合约中，就像代码写入 DNA 一样； 用户也无需担心自己的资产控制权被转移到平台的可能性，因为所有交易都在区块链上公开透明地执行； 虽然各种高收益的Yield产品可能会让用户承担相当大的风险，但这也取决于Yield产品的特性和策略。 在任何情况下，用户都可以随时看到自己资产的去向和收益获取方式，一切公开透明。

DeFi 在机制上比 CeFi 更可靠，但仍存在安全挑战｜BAP 解决方案

虽然以上确实给用户带来了更多的尽职调查负担，但 Web3 模式仍然具有中心化平台无法比拟的优势。 不可能的。

然而，Web3 在发挥其全部潜力并被视为 CeFi 的真正替代品之前还有一段路要走。

值得思考的是：为什么数百万用户愿意将数十亿美元“委托”给这些中心化组织？

也许是因为中心化组织提供了一种服务，可以简化流程并消除自我监管的风险。 此外，他们还提供更大的流动性和更丰富的金融产品，提供支持和服务平台，帮助用户及时解决问题。 最后，不要忘记黑客利用去中心化协议的漏洞，仅在 2022 年就获利数十亿美元，这也是更多人选择相信中心化平台的原因。

如果想要走得更远，Web3 需要在两个主要方面进行改进：可用性和安全性。

可用性：要了解如何使用 DeFi 平台，有时需要数小时的研究，而这只是在投入资金之前。 彻底研究多个平台甚至可能需要几天时间。

安全性：虽然 DeFi 在 2022 年的损失可能比 CeFi 少，但 Web3 损失的价值仍在数十亿级。 通过总结 2022 年的主要事件，我们希望引起人们对 Web3 仍然需要改进的领域的关注，尤其是安全性。 唯有重拾初心，回归初心，才能打造出完整的替代产品，为每个人提供真正自由公平的金融体系。

凶猛的黑客

2022年，针对跨链桥的攻击将造成总计13亿美元的损失，占过去12个月总损失的36%。 其中仅3起事件就占了整个跨链桥资产损失的87%，这也凸显了跨链桥攻击将带来的巨大风险。

大多数跨链应用具有极其复杂的技术结构，并且还包含各种攻击向量。 它的复杂性使其能够提供更广泛的功能，但代价是暴露更大的攻击面。

Play-to-earn最火的游戏Axie Infinity被黑了｜Play to Earn

浪人损失 6.25 亿美元

浪人桥事件可以说是DeFi领域历史上最大的一次攻击事件/漏洞。 3 月 23 日，为 Web3 游戏 Axie Infinity 构建的侧链遭到黑客攻击，损失超过 173,600 ETH 和 2550 万美元（总价值 6.25 亿美元）。

根据 Nomad 的报告，黑客设法获得了保护网络安全的五个验证节点的私钥，并且有证据表明攻击者是黑客组织 Lazarus Group。 该组织使用先进的鱼叉式网络钓鱼攻击获取私钥，在抽干资产后，攻击者通过 Tornado Cash 和包括 FTX 和 Huobi 在内的中心化交易所洗钱。

虫洞损失 3.26 亿美元

2 月 2 日，虫洞桥遭到黑客攻击，价值 3.26 亿美元的资产丢失。 攻击者通过注入虚假的 sysvar 帐户绕过身份验证检查，从而允许他们输出 Bridge 接受的恶意消息。 攻击者通过调用带有恶意信息的complete_wrapped函数成功铸造了120,000 WETH。

铸造两分钟后，攻击者将 10,000 ETH 桥接到以太坊区块链。 大约 20 分钟后，以太坊区块链上又进行了 80,000 笔 ETH 交易。 截至 2022 年底，这些被盗资金仍留在攻击者的钱包中。

Nomad 亏损 1.9 亿美元

8 月 1 日以太坊价格今日的价格美元，Nomad Bridge 被利用，损失价值约 1.9 亿美元。 攻击者利用了初始化过程中的一个漏洞——即在部署合约时，合约参数committedRoot被初始化为0。 此漏洞可能允许攻击者绕过消息验证，从而耗尽桥接合约中持有的令牌。 只要攻击者在一条链上存入ETH（比如0.1甚至0.0001 ETH），他就可以在另一条链上收到任意数量的ETH。

值得注意的是以太坊价格今日的价格美元，由于攻击过程被迅速公开且资金仍在Bridge中，至少有41个钱包复制了这个攻击过程。 结果，Nomad Bridge 几乎被淘汰，其总价值锁定 (TVL) 在几分钟内从 1.9 亿美元暴跌至 12,000 美元。

捕食者和钓鱼

Lazarus Group 一直是数字资产领域最持久和最有效的威胁参与者之一。 除了让他们净赚超过 5 亿美元的 Ronin Bridge 漏洞之外，该黑客组织还在 2022 年进行了几次有利可图的攻击。最值得注意的是 Operation In(ter)ception、Gate.io 漏洞和 Harmony Horizo​​n Bridge 攻击.

Operation In(ter)ception 是 Lazarus Group 运行的一种工作欺诈广告计划，其中 Lazarus 在 LinkedIn 等网站上发布工作机会，要求申请人下载部署可执行文件的 PDF 文件，然后恶意软件使 Lazarus 的操作安全人员可以针对受害系统中的漏洞来窃取行业员工的敏感信息。

Lazarus Group 的活动强调了在 Web3 行业中安全构建和运营的重要性。 而 DeFi 平台要想足够安全，不仅要抵御无良 Solidity 开发者的攻击，还要抵御世界上最得力的黑客的攻击。 否则，持有数亿美元用户资金的智能合约将继续成为目标。

另一方面，网络钓鱼攻击仍然是 Web 3 世界中持续存在的威胁，欺诈者日新月异。 价值数百万美元的资产已通过网络钓鱼被盗。 不仅是社区，个人用户也成为恶意软件和恶意行为者的目标。 新的钓鱼手段层出不穷，其诈骗行为都是利用了区块链的不可逆性和用户经验不足的优势。

例如，最近发布的一种新的网络钓鱼方法称为 Ice Phishing 骗局。 用通俗的理解，就是两手空空的白狼。

它不同于传统的网络钓鱼攻击，是 Web3 所独有的。 传统钓鱼通常通过某种方式获取私钥或密码等个人信息，而Ice Phishing更多是在不获取用户私钥的情况下，欺骗用户签署权限，授予恶意行为者任意花费其资产。

Ice Phishing 对 Web3 的投资者来说是一个相当大的威胁，因为与 DeFi 协议交互需要用户授予某些权限，并且并不总是 100% 清楚签名授予哪些权限。