FTX事件始末 黑客攻击总结:CertiK2022 第四季度Web3.0行业安全报告

每个人都必须知道2022年第四季度的主要事件,这也可以载入Web 3.0史册事件:FTX的急转直下,几乎一夜之间崩溃。虽然这一事件在导火索点燃之前有明显的崩溃迹象,但FTX的倒台无疑震惊了很多人,因为它毕竟是业内第二大集中交易所。

在这里,我们还将简要分析这一事件的原因,以及使这种欺诈发生的非Web 3.0商业模式的独特特征。

FTX事件使数十万甚至数百万用户的数十亿美元资产无法提取,从而成为永久性损失。随着人们的关注 3.0平台遭受的持续损失被转移,DeFi出现了一个“缓解期”。集中的交易所和服务永远不会像分散的应用程序那样成为Web 3.0连续运行的关键。

所以,如果Web 3.0要充分发挥其真正的潜力,需要100%的安全审计。本报告将在过去三个月分析Web 3.0世界上最重要的安全事件。

如果您想回顾2022年的情况,请继续关注certik官方账号,我们将随后发布《2022年Web3.0行业安全报告》。

第四季度行业安全概况

① 2022年第四季度,恶意攻击者来自Web 在3.0领域被盗约9.5亿美元的资产。

② 与今年第一季度损失的13亿美元峰值相比,这一数字有所下降,但比第三季度损失的5.04亿美元增加了88%

③ 仅11月份的资产损失就占第四季度总损失的50%以上,主要资产损失来自交易所崩溃期间FTX钱包的损失约5亿美元

④ 第四季度发生了78起退出骗局,共被盗约5268万美元,37起闪电贷款与预测机操作的漏洞共同造成约1439万美元的损失。

⑤ 2022年Web 3.0领域的安全形式仍然是大规模攻击占据主要资产损失,仅三个独立的跨链桥漏洞就造成了约1.1亿美元的损失。

⑥ 第四季度Certik审计的Web 3.0项目数量仍在上升,审计项目总数已达到5046个

FTX 顷刻崩塌

FTX,作为曾经的第二大集中加密货币交易所,日落后已燃尽余辉。曾几何时,Sam Bankman-Fried(山姆·班克曼·弗里德)的面孔也出现在世界各地的广告中。在过去的一段时间里,有无数的记者以Sam为主题写文章。迈阿密热火的主场甚至被FTX命名(AmericanAirlines) Arena改为FTXX Arena),冠名合同有效期至2040年。直到今年11月初,FTX仍在高歌猛进,

然而,这一切都在一周内崩溃,变成了一个泡沫。目前,Sam在保释出狱后支付了2.5亿美元的高保释金。两名Alameda公司的高级管理人员承认检察官指控犯罪事实,并同意与前老板合作起诉。

FTX总部设在巴哈马。虽然没有人知道美国法院将如何采取行动,但我们可以在这里初步梳理事件的始末⬇️:

11月2日:Coindesk发表了一篇关于Alamedadask的文章 由FTT(FTT是FTX创建的交易所token)组成的Research资产担忧。

11月6日:Binance首席执行官赵长鹏“”CZ他表示,他将从他对FTX的早期投资中出售Binance总额为5.8亿美元的FTT股份。

Alameda Research首席执行官Carolin Elllison现在已经承认了两项电信欺诈罪和五项共谋罪,涉及电信、证券、商品欺诈和洗钱:为CZ提供场外交易。

原文大致翻译如下:@cz_binance 如果你想尽量减少市场对你销售FTT的影响,今天Alameda愿意以22美元的价格为你购买所有FTT!

CZ显然拒绝了这一提议,但当FTT最终突破22美元大关时,其价格突然暴跌。

来源: CoinMarketCap

11月7日:FTX用户的恐慌蔓延开来,大量用户试图从平台上撤回资金,但只有少数用户成功。

11月8日:在长期沉默了围绕其交易所偿付能力的谣言之后,Sam Bankman-Fried终于宣布将FTX卖给Binance。

原文大致翻译如下:大家好:我有几条消息要宣布。事情已经圆满结束,http://FTX.com 第一个和最后一个投资者是一样的:我们已经和BinanceFTXX一样了.com战略交易达成协议(等待尽职调查结果)。

11月9日:Binance退出了交易。

原文大致翻译如下:根据企业尽职调查结果,以及客户资金处理不当和涉嫌美国机构调查的最新新闻报道,我们决定停止使用http://FTX.com 潜在收购。

与此同时,美国证券交易委员会(SEC)和司法部(DoJ)调查FTX。

11月10日:巴哈马证券委员会冻结了FTX,任命了清算人。

11月11日:FTX根据美国破产法第11章申请破产。Sam Bankman-Fried辞去了首席执行官的职务,John管理了Enron公司的破产程序 J. Ray III(约翰·雷三世)接任。

11月12日:据《华尔街日报》报道,FTX将客户存款交给Alameda Research,帮助他履行债务偿还责任。Alameda的高管知道这一点协议实际上违反了FTX的服务条款。

大约有5亿美元FTX资产从平台转移。有传言说巴哈马政府指示撤出资产,但随后政府否认了这一说法。

11月14日:纽约联邦检察官调查了欺诈指控。

11月16日:美国立法者要求Samm Bankman-在12月的国会山听证会上,Fried、Alameda和Binance的高管作证。

11月17日:即将上任的FTX首席执行官John J. Ray IIII在一份法庭文件中说:“在他的职业生涯中,包括在Enron丑闻中,他从未见过如此彻底的公司管理控制失败。”这包括“系统的完整性受到损害,国外监管存在缺陷,控制权集中在极少数没有经验、不成熟和不良信誉的个人手中。”

12月12日:在纽约联邦检察官提出刑事指控后,Sam在巴哈马被捕。

12月13日:美国证券交易委员会指控Sam Bankman-Fried欺诈投资者。

12月20日:被拘留8天后,Sam Bankman-Fried同意被引渡到美国。

12月27日:据彭博社报道,美国司法部已经调查了11月FTX数亿美元资产的提取情况。

目前,Caroline Elllison和Gary Wang已经承认了联邦指控,其欺诈行为已被证实。

如果你想通过收听了解更多关于FTX事件的始末和细节,请将以下链接复制到浏览器https://m.ximalaya.com/sound/590419909?from=pc

播放CertiK首席运营官曹亚昕博士博士关于FTX快速坠落的专访节目。

以去中心化为荣的Web 为什么3.0世界会出现这样的问题?

事实上,FTX不是Web 3.0货币公司。它是一个允许数字资产交易的集中平台。它依赖于用户对平台遵守其服务条款的信任,而高管则恶意使用该信任。

那么有更好的解决方案吗?

当然与FTX等集中交易所相对应的是Web 3.0行业中的去中心化交易所(DEX)。FTX管理层的欺诈在DEX中几乎是不可能的。由于资本流动是开放和透明的,用户的存款不能秘密转移到一些交易公司。

因此,开放的Web 3.0协议可以作为FTX事件的解决方案,不应与欺诈集中交易所抹去相同的污点。

然而,目前的Web 3.0解决方案还没有进入黄金时代。如上所述,仅在2022年第四季度,约有10亿美元生态系统中的资产不见了。在Web 在世界能够实现其安全、自由、公平的生态系统供所有人使用之前,需要不断提高安全标准

让我们来看看第四季度最大的漏洞之一:Mango Markets事件。这一事件突出了Web的构建 在3.0协议中,平台需要仔细设计。

Mango Markets被攻击

损失1.16亿美元

在Solana上运行Mango Markets该平台于2022年10月初遭到攻击,损失惨重约1.16亿美元。Mango Markets使用Serummets(DEX)现货保证金交易,永久期货在Mango 在Markets自己的订单簿上交易。Mango Markets MNGO持有人通过Mango DAO管理。

而这次攻击是利用协议的组成部分。

推特用户Avraham Eisenberg公开声称自己参加了Mango Markets的漏洞攻击暗示其他未知人士与他一起操作。这些人利用大量资金操纵Mangoo Markets协议。

2022年10月11日,攻击者在Mango Markets夸大了他们的抵押品价值,并为这些资金提供了大量贷款。

攻击者用500万美元的USDC为钱包CQVKSNN(账户A)提供资金,然后在订单簿上铸造了4.83亿份MNGO可持续合同。

随后,攻击者向第二个钱包4ND8FVPj(账户B)提供资金,并以每单位0.0382美元的价格购买4.83亿单位的MNGO。因此,攻击者可以将MNGO的价格提高到0.91美元,也可以让账户B借更多的钱。账号B以MNGO为抵押品,借款1.16亿美元,此时 Mango 流动性耗尽:账户A债务约11、537、729.05美元,无法收回,账户B贷款约1.15亿美元。

Eisenberg声称,他的团队实施了“高利润交易策略”,使Mango Markets破产了,但他也指出,他有兴趣归还部分用户资金。Mango Markets团队最终与攻击者谈判,10月20日DAO治理投票后,攻击者归还6700万美元。其余的被盗资金被转移到钱包Hy4ZsZK,随后被进一步转移。目前,该钱包仍持有约274万美元的资产。

原文大致翻译如下:开发团队部分忽略了以这种方式设置参数的后果和风险。但我相信我们所有的行为都是合法的开放市场行为,也是根据设计和使用协议。

遇到攻击耗尽其流动性的项目很少有机会翻身,Mango Markets是否会恢复还不得而知。Mango Markets网站表示,他们将部署第四个版本该平台包括更新的安全和风险缓释策略,但相关细节尚未公布。

目前,Mango Markets的Discord仍然很活跃,用户每隔几天就要求提供关于第四版部署的信息,其管理员也处于活跃的在线状态。然而,在这个阶段,该团队似乎没有报告与他们计划有关的发布日期或其他信息。

Mango 后期Markets事故,Avraham Eisenberg波多黎各被捕,并于12月27日被司法部指控商品欺诈和商品操纵。此案的结果将成为美国DEFi监管的里程碑。

全新的开始

像过山车一样的FTX故事是Web 3.0试图避免:信任不应该被轻信的机构,缺乏透明度,公开欺诈……

2022年投身Web 3.0市场的人可能是痛苦的一年。除了FTX的崩溃及其连锁反应导致行业内一些大企业倒闭外,整个Web 3.0市场和整体价格相对低迷。

但2023年可能是一个新的机会。让我们回到初衷,专注于真正重要的事情:建立安全、透明、开源的应用程序,将权力归还给用户。Web 3.0还需要从写进区块链永久历史的教训中学习设计安全协议,部署前代码审计,部署后监督控制提高整个行业的安全水平。

安全对用户、开发者和整个行业的未来非常重要。

本文的部分内容来自网络,仅供参考。如有侵权行为,请联系删除。

相关推荐
交易所被黑客攻击会怎么样?
2023-06-25

交易所被黑客攻击会怎么样?

目前数字货币已经成了全球投资者关注的热门投资项目之一,而数字货币交易所的出现也为数字货币的流通提供了主要场所,但在数字货币市场中,投资者经常会听说数字货币交易所...