2022 年对于整个数字资产行业来说是艰难的一年。在市场低迷的大环境下, 65% 的数字资产市值化为乌有,而数量空前的黑客攻击、诈骗事件和机构崩盘,让本就损失惨重的投资者们雪上加霜。
从今年 3 月 Ronin Bridge 被盗 6.24 亿美元事件到 11 月 FTX 几乎一夜崩塌, 2022 年的损失规模创下了历史之最。今年的资产损失约为 37.7 亿美元,远远超过 2021 年的 13 亿美元记录。
本报告将深入探究导致 Celsius、BlockFi 以及 FTX 等中心化交易所溃败的各种因素。作为这些迅速重蹈行业覆辙的中心化机构的替代品,Web3.0 和基于开源区块链的去中心化金融应用将会发挥重要作用,但仅凭这一点就期望Web3.0 走向大规模应用还不太现实。虽然与今年中心化领域的破产规模相比,去中心化世界的损失相对较小,但其总额也有数十亿美元之多。整个Web3.0 行业都需要对过去一年进行深刻反思,努力从这段艰难时期中寻求一线生机。
虽然不安全的协议仍在不断造成损失,但这并不能否定Web3.0 所具有的真正价值。如今,各类资产的估值普遍下降,人们的狂热情绪也逐渐平息。由此我们可以退一步审视现状,并在一个更加坚实的基础上建设这个行业。
除了回顾今年发生的主要黑客攻击和漏洞事件外,本报告也将展示 CertiK 公开的独家安全研究,以履行其守护Web3.0 世界的使命。
2022 年行业安全概要
① 2022 年,黑客从Web3.0 协议中盗取了价值约 37.7 亿美元的资产。
② 这个数字比 2021 年的 13 亿美元损失增加了 189% 。
③ 2022 年发生了 316 起退出骗局,共盗取了约 2.1 亿美元, 102 起闪电贷与预言机操纵事件共造成了约 3.6 亿美元的损失。
④ 仅仅 9 个跨链桥漏洞就占了所有损失价值的三分之一以上,黑客从跨链桥攻击中总共盗取了约 13.5 亿美元。
⑤ 尽管经历了一年熊市,CertiK 审计的项目数量依然在持续增长。迄今为止,CertiK 共完成了 5046 个Web3.0 项目的审计。相比去年年底的总审计数目增加了 73% 。
⑥ 本文涵盖了这一年的主要安全事件、Web3.0 发展趋势以及整个行业在一年动荡后的状况分析。
中心化平台或成为难以调和的矛盾
今年以来,许多知名数字资产企业的消亡给整个行业都蒙上了阴影。虽然这些企业全都从事数字资产买卖、借贷和交易业务,但当我们为其贴上相同标签之前,应该考虑一下,这些已然倒闭的企业是否真正可以被归类为数字资产公司。
可以肯定的是,导致这些企业失败的原因更多是源于他们的商业运营模式,而不是他们所管理的资产。中心化数字资产企业(也被称为 CeFi,意为“中心化金融”,与“去中心化金融”DeFi 相反)的致命缺陷就隐含在其名称中:它们在具有单点控制的中心化系统上运行,而这恰恰引发了今年我们所目睹的单点溃败。
接下来的故事多少有些悲剧性的讽刺色彩。在今年 2 月份的超级碗比赛期间(Super Bowl,美国国家橄榄球联盟年度冠军赛),FTX 曾向数百万的观众推销数字资产的概念,声称数字资产是 “下一个大事件”,并暗示不参与其中的人就像广告中所扮演的傻瓜那样会错失一切。
然而,FTX 背地里却将用户的存款发送至该公司所谓的“非内部”但实际为内部的交易部门——Alameda,该部门很快就在投资上损失了数十亿美元,这也严重违反了该交易所的服务条款。
关于 FTX 非流动性资产负债状况的惊人消息很快不胫而走,典型的银行挤兑事件也随即爆发。如果一家交易所按 1: 1 的比例保留存款资金,且不在未经许可的情况下进行重新抵押或出借,那么它或许就能经受住这次考验。但 FTX 的情况并非如此。
FTX 前首席执行官 Sam Bankman-Fried 曾策划了一连串极其奢华的收购、赞助和救助活动,因此也令 FTX 的垮台也更加令人难以置信。比如另一家现已倒闭的 CeFi 公司 Voyager Digital 在申请破产后就宣布 FTX 成功收购了其资产,然而在 FTX 闪电式崩盘后只能再次申请破产,这些突如其来的事件全部发生在了 2022 年下半年。
FTX 和 Three Arrows Capital 等公司的倒闭确实打击了许多大型投资机构,但受伤最严重的还是大量的普通散户。铺天盖地的营销、公众人物代言和个人崇拜使他们将信心投放在了错误的平台,并为此付出了惨痛代价。
之所以说受伤散户的比例很高,是因为在 Voyager 平台上, 97% 的用户资产都不到 1 万美元。其中许多误认为 CeFi 平台更加安全的用户,其资产现已荡然无存。他们认为把资产存入 CeFi 平台更加放心,收益也更高,同时避免了去中心化平台的智能合约所带来的高入门门槛以及各种风险。
关于 FTX 更多细节,请查看《FTX 事件始末,黑客攻击总结: 2022 第四季度Web3.0 行业安全报告》了解详情。
虽然这些教训让人们非常痛苦,但其实也是必不可少的一课。数字资产的核心原则是自我监管和自主权(Self-Custody and Self-Sovereignty),所以将用户的资产控制权交给中心化平台也就违背了以上原则。
这些平台完全有可能不遵守其服务条款,而你也无从得知你的资产正被平台如何利用。此外,你无法验证平台的财务健康状况,也不能追踪资产的流向来了解字面上的收益来源,以及所要承担的风险,一切都只是建立在用户的盲目信任和信念之上,而今年所发生的事件也证明了其后果:看似安然无恙的开端,最终却坠入了满目疮痍的结局。