FTX事件始末 黑客攻擊總結:CertiK2022 第四季度Web3.0行業安全報告

2023-01-05 15:01:40

2022年第四季度的主要事件想必無人不知,而這也是能夠被載入Web 3.0史冊的事件:FTX的急轉直下,近乎於一夜之間崩塌。雖然該事件在導火索被點燃前已有了明顯的傾塌徵兆,但因其畢竟是行業內的第二大中心化交易所,FTX的倒臺無疑還是震驚了許多人。

我們在此也會為大家簡單剖析一下這次事件造成的原因,以及使這種欺詐行為得以發生的非Web 3.0商業模式的獨特特徵。

FTX事件讓數十萬,甚至數百萬的用戶的數十億美元資產無法提取從而變成永久性損失。隨着人們的注意力從Web 3.0平臺遭受的持續損失上轉移开,DeFi在相比之下出現了一段“緩和期”。中心化交易所和服務永遠無法如去中心化的應用程序一般成為Web 3.0持續運轉的關鍵。


      FTX事件始末  黑客攻擊總結:CertiK2022 第四季度Web3.0行業安全報告

因此如果Web 3.0要發揮其真正的潛力,就需要百分百執行安全審計。本報告將分析過去三個月裏Web 3.0世界中最主要的幾起安全事件。

若想要回顧2022全年的情況,請持續關注CertiK官方公衆號,我們隨後將發布《2022年度Web3.0行業安全報告》。

第四季度行業安全概要

① 2022年第四季度,惡意攻擊者從Web 3.0領域中盜取了約9.5億美元的資產。

② 這一數字相比今年第一季度損失的13億美元峯值有所下降,但較於第三季度損失的5.04億美元增加了88%

③ 僅11月的資產損失就佔據了第四季度總損失的50%以上,主要資產損失來自於FTX錢包在該交易所崩潰期間損失的約5億美元

④ 第四季度發生了78起退出騙局,共盜取了約5268萬美元,37起閃電貸與預言機操縱的漏洞共造成了約1439萬美元的損失。

⑤ 整個2022年Web 3.0領域的安全形態仍為大規模攻擊佔據主要資產損失,僅三個獨立的跨鏈橋漏洞就造成了約1.1億美元的損失。

⑥ 第四季度CertiK審計的Web 3.0項目數量仍在持續上升,目前審計的項目總數已達到了5046個

FTX 頃刻崩塌

FTX,作為曾經的第二大中心化加密貨幣交易所,日落後已燃盡余輝。曾幾何時,Sam Bankman-Fried(山姆·班克曼-弗裏德)的面孔還出現在世界各地的廣告上。在過去的這段時間,有無數記者們以Sam為主題撰寫了文章。邁阿密熱火的主場場館甚至也已被FTX冠名(由AmericanAirlines Arena改為了FTX Arena),冠名合約有效期至2040年。直到今年11月初,FTX還在高歌猛進,

然而這一切都在一周之內轟然倒塌,化為泡影。目前,Sam繳納了2.5億美元的高額保釋金後保釋出獄,兩名Alameda公司的高級管理人員承認檢方指控犯罪事實,並同意配合對其前老板的起訴。

FTX總部設立於巴哈馬,雖然沒有人知道美國法院將如何對其採取行動,但是我們可以在此先將該事件的始末進行初步梳理⬇️:

11月2日:CoinDesk發布了一篇文章,表達了對Alameda Research資產中由FTT(FTT是FTX創建的交易所token)組成比例的擔憂。

11月6日:Binance首席執行官趙長鵬“CZ”表示,他將出售Binance總額為5.8億美元的FTT持股,這些持股來自他對FTX的早期投資。

Alameda Research首席執行官Caroline Ellison現在已經承認了兩項電信欺詐罪和五項共謀罪,涉及電信、證券和商品欺詐以及洗錢:為CZ提供了一個場外交易。


      FTX事件始末  黑客攻擊總結:CertiK2022 第四季度Web3.0行業安全報告

原文大致翻譯如下:@cz_binance 如果你想盡量減少市場對你銷售FTT的影響,今天Alameda會很愿意以22美元的價格向你購买所有FTT!   

CZ顯然拒絕了這一提議,然而當FTT最終突破22美元大關後,其價格驟然暴跌。


      FTX事件始末  黑客攻擊總結:CertiK2022 第四季度Web3.0行業安全報告

來源: CoinMarketCap

11月7日:FTX用戶的恐慌情緒蔓延开來,大量用戶試圖從平臺上撤回他們的資金,但是僅有極少部分用戶成功。

11月8日:在對圍繞其交易所償付能力的傳言保持了長時間的沉默後,Sam Bankman-Fried終於宣布將FTX出售給Binance。


      FTX事件始末  黑客攻擊總結:CertiK2022 第四季度Web3.0行業安全報告

原文大致翻譯如下:大家好:我有幾個消息要宣布。事情已經圓滿結束,http://FTX.com 的第一個,也是最後一個投資者是相同的:我們已與Binance就FTX.com战略交易達成協議(等待盡職調查結果)。

11月9日:Binance退出了交易。


      FTX事件始末  黑客攻擊總結:CertiK2022 第四季度Web3.0行業安全報告

原文大致翻譯如下:根據企業盡職調查的結果,以及關於客戶資金處理不當和涉嫌美國機構調查的最新新聞報道,我們決定不再對http://FTX.com 進行潛在收購。

與此同時,美國證券交易委員會(SEC)和司法部(DoJ)對FTX展开調查。

11月10日:巴哈馬證券委員會凍結了FTX並任命了清算人。

11月11日:FTX按照美國破產法第11章申請破產。Sam Bankman-Fried辭去首席執行官一職,由曾管理Enron公司破產程序的John J. Ray III(約翰·雷三世)接任。

11月12日:《華爾街日報》報道,FTX將客戶的存款交給Alameda Research,以幫助其履行債務償還責任。而Alameda的高管知道這一協議其實違反了FTX的服務條款。

大約有5億美元的FTX資產被從平臺轉出。有傳言說巴哈馬政府曾指示撤出資產,但隨後該政府否認了這一說法。

11月14日:紐約的聯邦檢察官對欺詐指控展开調查。

11月16日:美國立法者要求Sam Bankman-Fried以及Alameda和Binance的高管在12月的國會山聽證會上作證。

11月17日:即將上任的FTX首席執行官John J. Ray III在一份法庭文件中說:“在他的職業生涯中,包括在Enron醜聞期間,他從未見過失敗的如此透徹的公司管理控制。”這包括“系統的完整性受到損害,國外監管存在缺陷,以及控制權集中在極少數沒有經驗、不成熟和不良信譽的個人手中。”

12月12日:在紐約聯邦檢察官提出刑事指控後,Sam在巴哈馬被捕。

12月13日:美國證券交易委員會指控Sam Bankman-Fried詐騙投資者。

12月20日:在被拘留8天後,Sam Bankman-Fried同意被引渡到美國。

12月27日:據彭博社報道,美國司法部已對11月FTX價值數億美元資產遭到提取一事展开調查。

目前,Caroline Ellison和Gary Wang已經承認了聯邦指控,其欺詐行為已被證實。

如果想通過收聽方式了解更多FTX事件始末及細節,請復制以下鏈接至瀏覽器https://m.ximalaya.com/sound/590419909?from=pc

播放CertiK首席運營官曹亞昕博士關於《FTX極速墜落》的專訪節目。

以去中心化為榮的Web 3.0世界,為何會出現如此問題?

其實,FTX並不是一家Web 3.0貨幣公司。它是一個允許進行數字資產交易的中心化平臺。它依賴於用戶對平臺遵守其服務條款的信任,而高管層則惡意利用了這種信任。

那么有更好的解決方案嗎?

當然。與FTX這樣的中心化交易所相對應的則是Web 3.0行業中的去中心化交易所(DEX)。而FTX管理層的欺詐行為在DEX中可以說是幾乎不可能實現的。因為資金流動公开透明,用戶的存款不可能被祕密轉移到某些交易公司。

因此,开放的Web 3.0協議可作為FTX事件的解決方案,而其也不該被抹上與欺詐性中心化交易所相同的污點。

不過,目前Web 3.0解決方案尚未進入黃金時代。如上文所述,僅2022年第四季度,就有約10億美元的資產從生態系統中不翼而飛。在Web 3.0世界能夠實現其安全、自由和公平的生態系統供所有人使用的承諾之前,安全標准需要不斷提高

下面就讓我們來看一下第四季度最大的漏洞事件之一:Mango Markets事件。該事件凸顯了在構建Web 3.0協議時平臺需謹慎設計的重要性。

Mango Markets遭攻擊

損失1.16億美元

在Solana上運行的Mango Markets平臺,於2022年10月初遭到攻擊,損失了約1.16億美元。Mango Markets利用Serum(DEX)進行現貨保證金交易,而永久期貨則在Mango Markets自己的訂單簿上進行交易。Mango Markets 由MNGO持有人通過Mango DAO管理。

而這一攻擊事件即是利用了該協議的組成部分。

推特用戶Avraham Eisenberg公开聲稱自己參與了Mango Markets的漏洞攻擊,並暗示了還有其他未知人士同他一起操作。這些人利用了大量資金來操縱Mango Markets協議。

2022年10月11日,攻擊者們在Mango Markets上誇大了他們的抵押品價值,並針對這些資金進行了大量貸款。

攻擊者們用500萬美元的USDC為錢包CQvKSNn(账戶A)提供資金,然後在訂單簿上鑄造了4.83億份的MNGO永續合約。

隨後,攻擊者們向第二個錢包4ND8FVPj(账戶B)提供資金,並用它以每單位0.0382美元的價格購买4.83億單位的MNGO。因此,攻擊者能夠將MNGO的價格提高到0.91美元,也因此能夠讓账戶B借到更多資金。账號B以MNGO作為抵押品,借出了1.16億美元的貸款,此時 Mango 的流動性被耗盡:账戶A有大約有11,537,729.05美元的債務無法收回,账戶B有大約1.15億美元的借貸token。

Eisenberg聲稱他的團隊執行了一個“高利潤的交易策略”,使Mango Markets陷入破產,但他也指出,他有興趣歸還一部分用戶資金。Mango Markets團隊最終與攻擊者進行了談判,攻擊者在10月20日DAO治理投票後歸還了6700萬美元。剩下的被盜資金被轉移到錢包Hy4ZsZk,隨後被進一步轉移。目前該錢包仍持有約274萬美元資產。


      FTX事件始末  黑客攻擊總結:CertiK2022 第四季度Web3.0行業安全報告

原文大致翻譯如下:开發團隊部分忽略了以這種方式設置參數的後果和風險。但我相信我們所有的行為都是合法的公开市場行為,也是按照設計使用協議。

遭遇攻擊耗盡其流動性的項目很少有機會翻身,Mango Markets是否會恢復猶未可知。Mango Markets網站稱,他們將部署第四個版本的平臺,其中包括已更新的安全和風險緩釋策略,不過相關細節還沒有被公布。

目前,Mango Markets的Discord仍具有活躍度,每隔幾天就會有用戶要求提供關於第四版部署的信息,其管理員也處於活躍在线狀態。不過目前這個階段,該團隊似乎沒有通報發布日期或與他們計劃有關的其他信息。

在Mango Markets事故的後期,Avraham Eisenberg在波多黎各被捕,並於12月27日被司法部指控商品欺詐和商品操縱。此案的結果將成為美國DeFi監管的一個裏程碑事件。

全新的开始

FTX如過山車一般的故事正是Web 3.0試圖要避免的:信任本不應該輕信的機構、缺乏透明度、公然欺詐……

而2022年對投身於Web 3.0市場的人來說,或許是比較煎熬的一年。除了FTX的崩塌以及其造成的連鎖反應使行業中的一些大企業倒閉之外,整個Web 3.0市場的行情和整體價格都相對低迷。

但2023年或許是一個新的機會。讓我們回到初心,專注於真正重要的事情:建立安全、透明、开源的應用程序,將權力交還給用戶。Web 3.0也需要從寫進區塊鏈永久歷史的教訓中學習,通過安全協議設計、部署前代碼審計和部署後監控來提高整個行業的安全水准。

無論何時,安全對於用戶、开發者和整個行業的未來都是至關重要的。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

btc日內再次下跌 短线應當如何處理?

盡管以太坊現貨ETF獲批是個好消息,但市場反應卻不如預期。在消息公布後,以太坊價格出現了小幅下跌,...

加密蓮
182 4個月前

7月23日、BTC(合約)ETH(合約)行情分析及操作策略

昨日收益還是不錯的,日內給出的現價空單分別止盈我們目標點位,恭喜跟上的朋友喫肉。時間一晃到月底了,...

倪老師
181 4個月前

幣圈院士:血與淚的教訓!交易者為何總是撞死在同一棵樹上?

幣圈院士談。交易市場中的幾種“死法” 在幣圈市場鱗次櫛比的海洋,風起雲湧,時常讓人感到驚手不及。在...

幣圈院士
189 4個月前

7月23:Mt. Gox 比特幣錢包在市場緊縮的情況下轉移了價值 28.2 億美元的 BTC

7月23:Mt. Gox 比特幣錢包在市場緊縮的情況下轉移了價值 28.2 億美元的 BTC一個引...

168超神
186 4個月前

悅盈:比特幣68000的空完美落地反彈繼續看跌 以太坊破前高看回撤

一個人的自律中,藏着無限的可能性,你自律的程度,決定着你人生的高度。 人生沒有近路可走,但你走的每...

我是周悅盈
161 4個月前

btc完美盈利 晚間波動較大注意

昨日btc空單完美給到,最大化走出一千七百點空間~ btc: 日內开盤下跌繼續測試66000一线,...

加密蓮
170 4個月前