币价上涨活力恢复，但 Web3 最深的「雷」依然存在

2023 年 1 月中旬，随着中国农历新年临近，以比特币、以太坊为代表的加密货币，在经历了几个月的蛰伏期后，经历了一波「小涨」。连带着因为 FTX「暴雷」而一蹶不振的 Web3 行业，重新焕发出一丝活力。

刚刚过去的 2022 年，对于 Web3 从业者来说是艰难的一年——从黑客攻击、跨链桥失守，再到知名中心化交易所和投资机构相继暴雷，整个 Web3 行业也被拖入熊市。

从某种角度来看，安全问题，而不是「易用性」，已经成为 Web3 行业最大的挑战之一。

不久前，专门从事 Web3 安全的创业公司 CertiK 团队，发布了 2022 年 Web3 安全报告。作为业内少有的专门针对 Web3 行业提供安全解决方案的公司，CertiK 收到来自红杉等知名机构的投资，目前估值已超过 20 亿美元，成为新晋的 Web3 行业的独角兽公司。

根据这份报告，整个 2022 年，黑客从 Web3 协议中盗取了价值 37.7 亿美元的资产，这还不算 FTX、Terra 等中心化机构中暴雷，而让用户损失的上百亿美元。

面对这样的难题，Web3 创业团队和公司，又该怎样保障自己和用户财产的安全？

下面是 CertiK 推出的 2022 Web3 安全报告正文，经极客公园编辑整理。

欲阅读完整报告，可点击链接进行申请下载。

图片来源：Pixabay

报告概述

2022 年对于整个数字资产行业来说是艰难的一年。在市场低迷的大环境下，65% 的数字资产市值化为乌有，而数量空前的黑客攻击、诈骗事件和机构崩盘，让本就损失惨重的投资者们雪上加霜。

从 2022 年 3 月 Ronin Bridge 被盗 6.24 亿美元事件到 11 月 FTX 几乎一夜崩塌，2022 年的损失规模创下了历史之最。2022 年 Web3 协议的资产损失约为 37.7 亿美元，远远超过 2021 年的 13 亿美元纪录。

本报告将深入探究导致 Celsius、BlockFi 以及 FTX 等中心化交易所溃败的各种因素。作为这些迅速重蹈行业覆辙的中心化机构的替代品，Web3 和基于开源区块链的去中心化金融应用将会发挥重要作用，但仅凭这一点就期望 Web3 走向大规模应用还不太现实。

虽然与 2022 年中心化领域的破产规模相比，去中心化世界的损失相对较小，但其总额也有数十亿美元之多。整个 Web3 行业都需要对过去一年进行深刻反思，努力从这段艰难时期中寻求一线生机。

虽然不安全的协议仍在不断造成损失，但这并不能否定 Web3 所具有的真正价值。如今，各类资产的估值普遍下降，人们的狂热情绪也逐渐平息。由此我们可以退一步审视现状，并在一个更加坚实的基础上建设这个行业。

除了回顾 2022 年发生的主要黑客攻击和漏洞事件外，本报告也将展示 CertiK 公开的独家安全研究，以履行其守护 Web3 世界的使命。

FTX「一夜崩塌」

2022 年以来，许多知名数字资产企业的消亡给整个行业都蒙上了阴影。虽然这些企业全都从事数字资产买卖、借贷和交易业务，但当我们为其贴上相同标签之前，应该考虑一下，这些已然倒闭的企业是否真正可以被归类为数字资产公司。

可以肯定的是，导致这些企业失败的原因更多是源于他们的商业运营模式，而不是他们所管理的资产。

中心化数字资产企业（也被称为 CeFi，意为「中心化金融」，与「去中心化金融」DeFi 相反）的致命缺陷就隐含在其名称中：它们在具有单点控制的中心化系统上运行，而这恰恰引发了 2022 年我们所目睹的单点溃败。

接下来的故事多少有些悲剧性的讽刺色彩。在 2022 年 2 月份的超级碗比赛期间（Super Bowl，美国国家橄榄球联盟年度冠军赛），FTX 曾向数百万的观众推销数字资产的概念，并声称数字资产是「下一个大事件」，并暗示不参与其中的人就像广告中所扮演的傻瓜那样会错失一切。

然而，FTX 背地里却将用户的存款发送至该公司所谓的「非内部」但实际为内部的交易部门——Alameda，该部门很快就在投资上损失了数十亿美元，这也严重违反了该交易所的服务条款。

关于 FTX 非流动性资产负债状况的惊人消息很快不胫而走，典型的银行挤兑事件也随即爆发。如果一家交易所按 1:1 的比例保留存款资金，且不在未经许可的情况下进行重新抵押或出借，那么它或许就能经受住这次考验。但 FTX 的情况并非如此。

FTX 前首席执行官 Sam Bankman-Fried 曾策划了一连串极其奢华的收购、赞助和救助活动，因此也令 FTX 的垮台也更加令人难以置信。

比如另一家现已倒闭的 CeFi 公司 Voyager Digital 在申请破产后就宣布 FTX 成功收购了其资产，然而在 FTX 闪电式崩盘后只能再次申请破产，这些突如其来的事件全部发生在了 2022 年下半年。

FTX 「暴雷」让 Web3 行业在熊市中雪上加霜｜The Block

FTX 和 Three Arrows Capital 等公司的倒闭确实打击了许多大型投资机构，但受伤最严重的还是大量的普通散户。铺天盖地的营销、公众人物代言和个人崇拜使他们将信任投放在了错误的平台，并为此付出了惨痛代价。

之所以说受伤散户的比例很高，是因为在 Voyager 平台上，97% 的用户资产都不到 1 万美元。其中许多误认为 CeFi 平台更加安全的用户，其资产现已荡然无存。他们认为把资产存入 CeFi 平台更加放心，收益也更高，同时避免了去中心化平台的智能合约所带来的高入门门槛以及各种风险。

虽然这些教训让人们非常痛苦，但其实也是必不可少的一课。数字资产的核心原则是自我监管和自主权（Self-Custody and Self-Sovereignty），所以将用户的资产控制权交给中心化平台也就违背了以上原则。这些平台完全有可能不遵守其服务条款，而你也无从得知你的资产正被平台如何利用。

此外，你无法验证平台的财务健康状况，也不能追踪资产的流向来了解字面上的收益来源，以及所要承担的风险，一切都只是建立在用户的盲目信任和信念之上，而 2022 年所发生的事件也证明了其结果：看似安然无恙的开端，最终却坠入了满目疮痍的结局。

Terra 崩盘

2022 年影响最大的事件之一是 Terra 的崩盘，其 450 亿美元的市值在几天内化为泡影。

与 Tether、USDC 和 BUSD 等稳定币不同，算法稳定币并非依靠与美元 1:1 的锚定比率来维持稳定，而是通过其内部机制来维持货币锚定。具体来说，算法稳定币通过智能合约设定的铸币及销毁功能来维持其基本价值。

以 Terra 的 UST 稳定币为例，UST 与另一项独立的数字资产 Luna 挂钩，UST 的持有者随时可以把他们的资产兑换成等值的 LUNA。在 5 月初，LUNA 的交易价格为 85 美元，此时一个 UST 稳定币可以交易 0.0118 枚 LUNA。

假如 UST 的交易价格跌破其设定的 1 美元门槛，做市商们随即会把大量 UST 兑换为 LUNA 以缩小二者间的价值缺口。其原理是在降低 UST 供应量的同时，提升对 LUNA 的需求，也就是通过提高支持该稳定币储备资产的价格，来维持货币锚定的稳定。

5 月 7 日，链上分析显示 UST 被大量抛售，8500 万的 UST 被兑换成了 8450 万 USDC，这直接导致了 UST 首次脱钩美元。受此影响，5 月 8 日 UST 的价格跌至 0.985 美元的低点。

为了让 UST 重新锚定美元，Luna Foundation Guard（LFG）部署了价值 7.5 亿美元的比特币，以协助做市商们维持 UST 价格的稳定。在市场环境恢复正常后，LFG 又回购了价值 7.5 亿美元的比特币。

Terra 和 LUNA 之间的机制在危机面前迅速崩溃｜Bitnovo

然而令人意想不到的是，5 月 9 日 UST 的价格竟然跌至 0.65 美元的更低点。UST 的再次脱钩随之引发了 LUNA 的价格震动，其价格骤跌至 35 美元，跌幅超过 44%，而这又使得 LUNA 与 UST 之间的市值脱钩，从而危及其作为稳定储备资产的功能。因为此时的 LUNA 生态系统已经没有足够的价值来抵押所有正在流通的 UST 了。

从这时开始，LUNA 和 UST 之间的微妙平衡开始瓦解。

然而祸不单行，Terra 创建者 Terraform Labs 的首席执行官 Do Kwon 被曝是此前失败的算法稳定币 Basis Cash 背后的匿名联合创始人之一。有指控称，在经历了价值脱钩和数十亿美元的损失后，Do Kwon 挪用了价值约 6700 万美元的比特币，却并未将其用于维护货币锚定。韩国检察官已对 Do Kwon's 发出逮捕令，但其目前仍然在逃。

Terra/LUNA 的这次历史性的崩盘让整个区块链生态系统措手不及，从业者们和用户不得不停下来思考此次事件对 Web3 的未来产生的深刻影响。

去中心化是答案吗？

相对于中心化平台，而 Aave 等 DeFi 平台的持续成功，为去中心化商业模式提供了正面的素材支持。用户可以实时验证 Aave 的偿还支付能力，了解储户赚取的收益来自哪里。而该平台的清算过程，根本不允许出现最终导致 Celsius 倒闭的风险。

与中心化金融平台相比，DeFi 明显具有多方面的优势。

不过为 Web3 提供动力的智能合约在某种程度上也不是无懈可击的：DeFi 协议也有属于自己的一系列风险，比如智能合约的编写不规范会引入一系列的漏洞，而黑客们已经发现并利用了这些漏洞，在 2022 年窃取了高达 30 多亿美元的资金。

或许这就是 Web3 世界的意义：建立在开源区块链上的去中心化应用，为不透明的中心化机构世界提供了强有力的替代，同样也为具有众所周知缺陷的金融运作方式提供了真正的替代。

使用过 Aave 的用户可能知道，该平台是无法违背其服务条款的，因为这些条款被写入了管理其运作的智能合约，就如同一个准则被写入了 DNA 一样；在 Pancake Swap 平台上交易的用户也不需要担心他们的资产控制权有可能被转移给平台，因为所有交易都在区块链上被公开透明地执行；虽然各种高收益率的 Yield 产品可能会使用户承担相当大的风险，但这也取决于 Yield 产品的特性和策略。无论如何用户可以随时看到他们资产的去向以及收益率的获得方式，一切将公开透明。

去中心化金融 DeFi 比 CeFi 在机制上更可靠，但依然有安全挑战｜BAP Solution

虽然以上所述确实给用户带来了更多的尽职调查负担，但 Web3 模式相较中心化平台还是有着不可比拟的优势，许多中心化金融（CeFi）的崩溃故事在去中心化的环境中根本不可能发生。

然而，Web3 在实现其全部潜力和被认为是 CeFi 的真正替代之前，还有一段路要走。

值得思考的是：为什么数以百万计的用户愿意将数十亿美元「托付」给这些中心化组织？