CertiK年度报告：大事件层出不穷，23年又将何去何从？

2022 年对于整个数字资产行业来说是艰难的一年。在市场低迷的大环境下， 65% 的数字资产市值化为乌有，而数量空前的黑客攻击、诈骗事件和机构崩盘，让本就损失惨重的投资者们雪上加霜。

从今年 3 月 Ronin Bridge 被盗 6.24 亿美元事件到 11 月 FTX 几乎一夜崩塌， 2022 年的损失规模创下了历史之最。今年的资产损失约为 37.7 亿美元，远远超过 2021 年的 13 亿美元记录。

本报告将深入探究导致 Celsius、BlockFi 以及 FTX 等中心化交易所溃败的各种因素。作为这些迅速重蹈行业覆辙的中心化机构的替代品，Web3.0 和基于开源区块链的去中心化金融应用将会发挥重要作用，但仅凭这一点就期望Web3.0 走向大规模应用还不太现实。虽然与今年中心化领域的破产规模相比，去中心化世界的损失相对较小，但其总额也有数十亿美元之多。整个Web3.0 行业都需要对过去一年进行深刻反思，努力从这段艰难时期中寻求一线生机。

虽然不安全的协议仍在不断造成损失，但这并不能否定Web3.0 所具有的真正价值。如今，各类资产的估值普遍下降，人们的狂热情绪也逐渐平息。由此我们可以退一步审视现状，并在一个更加坚实的基础上建设这个行业。

除了回顾今年发生的主要黑客攻击和漏洞事件外，本报告也将展示 CertiK 公开的独家安全研究，以履行其守护Web3.0 世界的使命。

2022 年行业安全概要

① 2022 年，黑客从Web3.0 协议中盗取了价值约 37.7 亿美元的资产。

② 这个数字比 2021 年的 13 亿美元损失增加了 189% 。

③ 2022 年发生了 316 起退出骗局，共盗取了约 2.1 亿美元， 102 起闪电贷与预言机操纵事件共造成了约 3.6 亿美元的损失。

④ 仅仅 9 个跨链桥漏洞就占了所有损失价值的三分之一以上，黑客从跨链桥攻击中总共盗取了约 13.5 亿美元。

⑤ 尽管经历了一年熊市，CertiK 审计的项目数量依然在持续增长。迄今为止，CertiK 共完成了 5046 个Web3.0 项目的审计。相比去年年底的总审计数目增加了 73% 。

⑥ 本文涵盖了这一年的主要安全事件、Web3.0 发展趋势以及整个行业在一年动荡后的状况分析。

中心化平台或成为难以调和的矛盾

今年以来，许多知名数字资产企业的消亡给整个行业都蒙上了阴影。虽然这些企业全都从事数字资产买卖、借贷和交易业务，但当我们为其贴上相同标签之前，应该考虑一下，这些已然倒闭的企业是否真正可以被归类为数字资产公司。

可以肯定的是，导致这些企业失败的原因更多是源于他们的商业运营模式，而不是他们所管理的资产。中心化数字资产企业（也被称为 CeFi，意为“中心化金融”，与“去中心化金融”DeFi 相反）的致命缺陷就隐含在其名称中：它们在具有单点控制的中心化系统上运行，而这恰恰引发了今年我们所目睹的单点溃败。

接下来的故事多少有些悲剧性的讽刺色彩。在今年 2 月份的超级碗比赛期间（Super Bowl，美国国家橄榄球联盟年度冠军赛），FTX 曾向数百万的观众推销数字资产的概念，声称数字资产是 “下一个大事件”，并暗示不参与其中的人就像广告中所扮演的傻瓜那样会错失一切。

然而，FTX 背地里却将用户的存款发送至该公司所谓的“非内部”但实际为内部的交易部门——Alameda，该部门很快就在投资上损失了数十亿美元，这也严重违反了该交易所的服务条款。

关于 FTX 非流动性资产负债状况的惊人消息很快不胫而走，典型的银行挤兑事件也随即爆发。如果一家交易所按 1: 1 的比例保留存款资金，且不在未经许可的情况下进行重新抵押或出借，那么它或许就能经受住这次考验。但 FTX 的情况并非如此。

FTX 前首席执行官 Sam Bankman-Fried 曾策划了一连串极其奢华的收购、赞助和救助活动，因此也令 FTX 的垮台也更加令人难以置信。比如另一家现已倒闭的 CeFi 公司 Voyager Digital 在申请破产后就宣布 FTX 成功收购了其资产，然而在 FTX 闪电式崩盘后只能再次申请破产，这些突如其来的事件全部发生在了 2022 年下半年。

FTX 和 Three Arrows Capital 等公司的倒闭确实打击了许多大型投资机构，但受伤最严重的还是大量的普通散户。铺天盖地的营销、公众人物代言和个人崇拜使他们将信心投放在了错误的平台，并为此付出了惨痛代价。

之所以说受伤散户的比例很高，是因为在 Voyager 平台上， 97% 的用户资产都不到 1 万美元。其中许多误认为 CeFi 平台更加安全的用户，其资产现已荡然无存。他们认为把资产存入 CeFi 平台更加放心，收益也更高，同时避免了去中心化平台的智能合约所带来的高入门门槛以及各种风险。

关于 FTX 更多细节，请查看《FTX 事件始末，黑客攻击总结： 2022 第四季度Web3.0 行业安全报告》了解详情。

虽然这些教训让人们非常痛苦，但其实也是必不可少的一课。数字资产的核心原则是自我监管和自主权（Self-Custody and Self-Sovereignty），所以将用户的资产控制权交给中心化平台也就违背了以上原则。

这些平台完全有可能不遵守其服务条款，而你也无从得知你的资产正被平台如何利用。此外，你无法验证平台的财务健康状况，也不能追踪资产的流向来了解字面上的收益来源，以及所要承担的风险，一切都只是建立在用户的盲目信任和信念之上，而今年所发生的事件也证明了其后果：看似安然无恙的开端，最终却坠入了满目疮痍的结局。

Terra 崩盘事件

今年影响最大的事件之一是Terra 的崩盘，其 450 亿美元的市值在几天内化为泡影。

与 Tether、USDC 和 BUSD 等稳定币不同，算法稳定币并非依靠与美元 1: 1 的锚定比率来维持稳定，而是通过其内部机制来维持货币锚定。具体来说，算法稳定币通过智能合约设定的铸币及销毁功能来维持其基本价值。

以 Terra 的 UST 稳定币为例，UST 与另一项独立的数字资产 Luna 挂钩，UST 的持有者随时可以把他们的资产兑换成等值的 LUNA。在 5 月初，LUNA 的交易价格为 85 美元，此时一个 UST 稳定币可以交易 0.0118 枚 LUNA。

假如 UST 的交易价格跌破其设定的 1 美元门槛，做市商们随即会把大量 UST 兑换为 LUNA 以缩小二者间的价值缺口。其原理是在降低 UST 供应量的同时，提升对 LUNA 的需求，也就是通过提高支持该稳定币储备资产的价格，来维持货币锚定的稳定。

5 月 7 日，链上分析显示 UST 被大量抛售， 8500 万的 UST 被兑换成了 8450 万 USDC，这直接导致了 UST 首次脱钩美元。受此影响， 5 月 8 日 UST 的价格跌至 0.985 美元的低点。

为了让 UST 重新锚定美元，Luna Foundation Guard（LFG）部署了价值 7.5 亿美元的比特币，以协助做市商们维持 UST 价格的稳定。在市场环境恢复正常后，LFG 又回购了价值 7.5 亿美元的比特币。

然而令人意想不到的是， 5 月 9 日 UST 的价格竟然跌至 0.65 美元的更低点。UST 的再次脱钩随之引发了 LUNA 的价格震动，其价格骤跌至 35 美元，跌幅超过 44% ，而这又使得 LUNA 与 UST 之间的市值脱钩，从而危及其作为稳定储备资产的功能。因为此时的 LUNA 生态系统已经没有足够的价值来抵押所有正在流通的 UST 了。

从这时开始，LUNA 和 UST 之间的微妙平衡开始瓦解。然而祸不单行，Terra 创建者 Terraform Labs 的首席执行官 Do Kwon 被曝是此前失败的算法稳定币 Basis Cash 背后的匿名联合创始人之一。有指控称，在经历了价值脱钩和数十亿美元的损失后，Do Kwon 挪用了价值约 6700 万美元的比特币，却并未将其用于维护货币锚定。韩国检察官已对 Do Kwon's 发出逮捕令，但其目前仍然在逃。

Terra/LUNA 的这次历史性的崩盘让整个区块链生态系统措手不及，从业者们和用户不得不停下来思考此次事件对 Web 3.0 的未来产生的深刻影响。

危机持续蔓延

Celsius 是一个支持用户存入资产以赚取收益的中心化平台，其曾在 Terra 生态系统中持有超过 5 亿美元的资金。在 Celsius 倒闭前，其声称已经撤回了所有资产。但一个月过后，该公司就宣布暂停存款业务，并申请破产。

Celsius 的用户永远无法得知他们所赚取的收益来源，他们也对自己所承担的风险一无所知。

Celsius 还利用去中心化平台偿还了许多债务，以努力挽回其所剩无几的流动性资金，这也从侧面证明了 DeFi 的力量：所有链上活动都是公开可见的，这就与 Celsius 对投资者和债权人各种隐瞒的负债形成了鲜明对比。

雪上加霜的是，为了证明伪匿名去中心化金融平台的隐私优势，Celsius 后来在一份法庭文件中公开披露了其数千名用户的姓名、余额和交易历史记录。这是极其不负责任的而且危险的行为。 

而 Aave 等 DeFi 平台的持续成功，为去中心化商业模式提供了正面的素材支持。用户可以实时验证 Aave 的偿还支付能力，了解储户赚取的收益来自哪里。而该平台的清算过程，根本不允许出现最终导致 Celsius 倒闭的风险。

与中心化金融平台相比，DeFi 明显具有多方面的优势。不过为 Web 3.0 提供动力的智能合约在某种程度上也不是无懈可击的：DeFi 协议也有属于自己的一系列风险，比如智能合约的编写不规范会引入一系列的漏洞，而黑客们已经发现并利用了这些漏洞，在 2022 年窃取了高达 30 多亿美元的资金。

在详细了解 Web 3.0 的优势以及行业趋势后，本报告将重点分析今年的一些重大安全事件。

Web 3.0 解决方案 

或许这就是 Web 3.0 世界的意义：建立在开源区块链上的去中心化应用，为不透明的中心化机构世界提供了强有力的替代，同样也为具有众所周知缺陷的金融运作方式提供了真正的替代。

使用过 Aave 的用户可能知道，该平台是无法违背其服务条款的，因为这些条款被写入了管理其运作的智能合约，就如同一个准则被写入了 DNA 一样；在 Pancake Swap 平台上交易的用户也不需要担心他们的资产控制权有可能被转移给平台，因为所有交易都在区块链上被公开透明地执行；虽然各种高收益率的 Yield 产品可能会使用户承担相当大的风险，但这也取决于 Yield 产品的特性和策略。无论如何用户可以随时看到他们资产的去向以及收益率的获得方式，一切将公开透明。

虽然以上所述确实给用户带来了更多的尽职调查负担，但 Web 3.0 模式相较中心化平台还是有着不可比拟的优势，许多中心化金融（CeFi）的崩溃故事在去中心化的环境中根本不可能发生。

然而，Web 3.0 在实现其全部潜力和被认为是 CeFi 的真正替代之前，还有一段路要走。

值得思考的是：为什么数以百万计的用户愿意将数十亿美元“托付”给这些中心化组织？

或许是因为中心化组织提供了一个流程简化的服务，并且消除了自我保管的风险。除此之外，他们也提供更大的流动性和更丰富的金融产品，并提供支持与服务平台以便及时帮助用户解决遇到的问题。最后，别忘了黑客仅 2022 年就利用去中心化协议的漏洞获得了数十亿美元的收益，这也是为什么更多人选择相信中心化的平台。

如果想要走的更远，Web 3.0 需要在两个主要方面进行改进：可用性和安全性。

可用性：要了解如何使用某 DeFi 平台，有时候甚至需要花上数小时去研究，而这仅仅还是资金投入之前。想要研究透彻多个平台，甚至可能会花上几天。

安全性：虽然 DeFi 在 2022 年的损失可能比 CeFi 少，但从 Web 3.0 中流失的价值仍然有数十亿美元。通过对 2022 年主要事件的总结，我们希望能够唤起人们对 Web 3.0 仍需改进的领域特别是安全方面的关注。只有重新致力于基本理想和回归初心，我们才能建立一个完整的替代性产品，为每个人提供真正自由和公平的金融系统。

跨链桥攻击事件

2022 年，针对跨链桥的攻击事件共导致了 13 亿美元的损失，这个数字占据了过去 12 个月总损失金额的 36% 。仅其中三起事件就占据了整个跨链桥资产损失的 87% ，这也突显了跨链桥攻击会带来的巨大风险。

跨链应用大多具有极其复杂的技术结构，同时也包含了各种攻击载体。其复杂性能够为其提供更广泛的功能，但代价是会暴露更多的攻击面。

• 温馨提示：

  快链头条登载此文本着传递更多信息的缘由，并不代表赞同其观点或证实其描述。

  文章内容仅供参考，不构成投资建议。投资者据此操作，风险自担。

  提示：投资有风险，入市须谨慎。本资讯不作为投资理财建议。