solana

回顧剛剛過去的2022年，加密圈動盪不安，黑天鵝事件頻出，其中僅安全攻擊事件就發生了近300起，至少造成36億美元損失，其中僅前十大主要攻擊事件就讓攻擊者賺取了超過20億美元。另據WEEX唯客社區消息，近日有傳聞稱，又有一家合約交易平台的錢包私鑰丟失，並且平台已經欠薪裁員。可見，安全是生命線，任何時候都不能放鬆警惕。 以下是WEEX唯客社區對2022年加密圈主要安全事件的盤點，希望通過一個個觸目驚心的數字，引起更多用戶對加密資產安全的重視，共建安全、健康的web3良性發展生態。 中心化機構安全事件 1月7日，數字資產服務商StoboxCompany表示，Stobox Token的部署者地址被駭客入侵，由於ETH和BSC的部署者地址相同，因此所有儲備資金都已被盜或清算。提醒用戶停止購買/出售，官方將把STBU快照恢復到駭客攻擊前的最後一筆交易。此次私鑰洩露事件，一度導致Stobox的Token下跌96.93%。 1月17日，加密貨幣交易所Crypto.com被盜3500萬美元。一名黑客關閉了該平台的雙重身份驗證（2FA），導致客戶損失4836個ETH和443個比特幣。最終，所有受影響的客戶都得到了全額補償。 2月8日，美國南達科他州提供自主退休金帳戶的IRA Financial Trust被盜3700萬美元。黑客以某種方式掌握了一把「萬能鑰匙」，入侵了該平台。IRA的客戶帳戶由Gemini保管，IRA就駭客攻擊事件向Gemini提起訴訟，指控其涉嫌疏忽對客戶的資產保護。 6月1日，LCX交易所發推表示平台發生安全事件，已經停止提款功能。據派盾公佈的LCX交易所與黑客地址，標記為「LCX 2」的地址自6：29（UTC+8）起陸續將ETH、LCX等數十項資產轉移至「0x1654」開頭的黑客地址，大部分資產均已出售為ETH並通過Tornado.Cash轉移，累計損失價值或超過600萬美元。 9月21日，總部位於英國的加密貨幣做市商Wintermute的熱錢包遭到入侵，黑客從錢包中轉出價值約1.625億美元的代幣。 11月11-12日，在FTX破產程序開始期間，該平台發生了一系列未經授權的交易，Elliptic表示價值約4.77億美元的加密貨幣被盜。SBF在11月16日的一次採訪中說，他認為這是「前僱員或某人在前僱員的計算機上安裝惡意軟件的地方」，並且在他被關閉之前將肇事者縮小到8個人公司的系統。 去中心化平台安全事件 1月9日，去中心化的土地所有權實驗CityDAO發推稱，CityDAO Discord管理員帳戶被黑客入侵。攻擊者從管理員的被盜賬戶中發佈虛假的土地空投消息，29.67 ETH（95,000美元）資金已被盜，受攻擊的管理員「Lyons800」在推特上表示，這次攻擊是「來自Discord的荒謬安全漏洞」。 1月11日消息，體育NFT平台Lympo遭遇熱錢包安全漏洞，在黑客攻擊時損失了1.652億個LMT代幣，價值1870萬美元。攻擊中破壞了10個不同的項目錢包，大部分被盜代幣都被髮送到一個地址，在Uniswap和Sushiswap上換成ETH，然後發送到其他地址。在黑客轉移並出售項目熱錢包中的「戰利品」後，LMT價格暴跌92%至0.0093美元。 1月18日消息，去中心化交易平台Crosswise遭遇攻擊，在近一小時內損失約87.9萬美元。黑客利用了一個公開暴露的特權函數，然後利用該函數設置trustedForwarder，並進一步劫持Crosswise的所有者特權。 1月27日，幣安智能鏈（BNB Smart Chain）上的DeFi協議Qubit Finance擁有價值超過8000萬美元的BNB在橋接漏洞中被盜。攻擊者欺騙協議的智能合約，使其相信他們已經存入抵押品，允許他們鑄造代表橋接ETH的資產。他們多次重複這一過程，並以無後盾的橋接ETH為抵押借入了多種加密貨幣，耗盡了協議的資金。最終，開發團隊被迫解散，協議變更為由DAO進行管理。 2月2日，跨鏈協議Wormhole遭黑客攻擊，價值3.21億美元的120,000個Wrapped ETHer（wETH）代幣被盜。Wormhole允許用戶在多個區塊鏈之間發送和接收加密貨幣，攻擊者在協議的智能合約中發現了一個漏洞，並能夠在solana上鑄造120,000 wETH，在沒有存入任何抵押品的情況下將其換成ETH進行套現。 3月22日，Cashio被盜5200萬美元。黑客用無價值的抵押品「無限」鑄造Cashio的穩定幣CASH，導致CASH發生嚴重脫錨，暴跌至~0，此後一直沒有恢復。 3月29日，鏈遊項目Axie Infinity側鏈Ronin遭遇黑客攻擊，損失6.2億美元。Ronin側鏈由9個驗證節點組成，確認存、取款必須取得5個驗證者簽名，攻擊事件發生時，有5個驗證節點的私鑰被盜，這些私鑰隨後被駭客用於偽造假提款最終，攻擊者竊取了173,600枚ETH和2550萬枚USDC，總損失高達6.2億美元。攻擊者後來被美國執法部門確認為朝鮮政府資助的Lazarus Group。這是以法幣計算的有史以來最大的加密貨幣黑客事件。 4月17日，算法穩定幣項目Beanstalk Farms遭受了7600萬美元的攻擊。駭客使用「閃電貸」來接管Stablecoin的治理協議，購買治理代幣，資金在同一交易中不斷被借入和償還。由於Beanstalk耗盡了所有抵押品，該漏洞最初被認為耗資約1.82億美元，但最終，攻擊者只成功拿走了不到一半的資金。 4月30日，Fei Protocol被盜8000萬美元。該借貸協議的一個代碼錯誤允許黑客在貸款的同時提取了這筆貸款的抵押品。最終，Fei DAO代黑客償還了這筆損失，穩定幣FEI仍然保持1美元掛鉤。 同日，另一個名為Rari Capital的DeFi協議被利用，損失金額約7930萬美元。攻擊者利用協議的Rar Fuse流動性池智能合約中的重入漏洞，使它們調用惡意合約的函數來耗盡所有加密貨幣池。 6月23日，Horizon Bridge被盜1億美元。區塊鏈取證公司Elliptic將黑客攻擊歸咎於朝鮮網絡犯罪集團Lazarus Group。據瞭解，Lazarus以Harmony員工以登錄憑據為目標，破壞了該平台的安全系統，掌握了2/5的安全密鑰，並在部署自動洗錢程序以轉移其不義之財之前獲得對該協議的控制權。Horizon Bridge是連接以太坊、比特幣的跨鏈橋，可讓資產能夠在Harmony與以太坊和BNB Chain之間流動。 8月1日，允許用戶跨多個區塊鏈交換加密貨幣的Nomad跨鏈橋的一個漏洞被利用，被盜資產價值超1.9億美元。Nomad對智能合約的升級導致攻擊者能夠欺騙交易，能夠從Nomad橋上提款。相關報告稱，大約88%的參與利用的地址被確定為「模仿者」。此後，白帽黑客已經歸還了價值3330萬美元的資金。 8月3日，solana發生大規模盜幣事件，總損失約800萬美元，大量用戶在不知情的情況下被清空錢包中的代幣。 8月14日，Polkadot生態項目Acala因iBTC/aUSD池的漏洞遭黑客攻擊，增發超12億生態穩定幣AUSD，導致AUSD嚴重脫錨，價格下跌70%。 10月7日，BNB Chain跨鏈橋BSC Token Hub遭黑客攻擊，損失約1億美元。最初，人們認為攻擊者能夠獲得大約6億美元，因為該漏洞允許創建大約200萬個BNB。不過，幣安方面在區塊鏈上凍結了大約超過4億美元的數字資產，而且可能還有更多資產被困在BNB區塊鏈端的跨鏈橋中。 10月12日，基於solana的DeFi平台Mango Markets因攻擊者的市場操縱損失超1億美元。 12月26日，多鏈錢包BitKeep發生大規模黑客攻擊事件。PeckShield監測顯示，價值800萬美元的資產被盜，包括4373枚BNB、540萬枚USDT、19.6萬枚DAI和1233.21枚ETH。BitKeep官方表示，部分用戶使用的BitKeep APK包下載被黑客劫持，用戶使用的錢包已不是官方發佈的版本；已凍結部分黑客轉移資金，同時，BitKeep將上線賠付申請頁面。針對本次黑客攻擊事件已完成立案，並由當地警方聯合網絡安全技術專家成立專案組，BitKeep將積極配合專案組調查，全力推進被盜資金追回工作。 以上只是WEEX唯客社區梳理的2022年主要安全事件。據OKLink鏈上衛士盤點，僅2022年12月就發生15起安全事件，造成約8327萬美元損失，還不包括前述BitKeep被盜事件： OKLink的報告稱，2022年監測到區塊鏈生態相關安全事件至少290起。另據安全審計公司Beosin截止2022年12月30日的不完全數據統計，2022年整個區塊鏈生態因各類攻擊造成的損失超36億美元，較2021年攻擊類損失增長了47.4%；其中，攻擊事件主要發生在DeFi領域，佔比67.6%，導致9.47億美元損失。 WEEX唯客設立1000BTC+1000萬USDT安全保護基金 雖然區塊鏈安全攻擊事件主要發生在DeFi領域，但中心化平台的安全形勢同樣十分嚴峻。根據WEEX唯客社區不完全統計，2022年中心化平台發生的安全事件共有6起，造成的損失至少超過7.18億美元。 然而對於安全攻擊事件，平台和用戶能做的只有加強安全保障，儘可能降低發生的概率，但難以完全杜絕。因此，一旦出現安全損失，平台能不能承擔責任，賠付用戶也很關鍵。比如，前述Crypto.com、Fei Protocol都在攻擊發生後賠付了用戶損失，BitKeep也宣佈將上線賠付申請頁面。另一個賠付案例是合約交易平台WEEX唯客，雖然其用戶損失不是由安全攻擊事件所引發，但平台在事發後不推責，主動承擔客損賠償責任，同樣贏得了用戶的信賴。 WEEX唯客作為一家主打安全易用合約交易所，始終將用戶資金安全放在首位，平台設立了1000 BTC+1000萬USDT投資者保護基金，並公示資金池熱錢包地址，讓用戶安心無憂。對於非用戶自身原因的情況下出現的用戶資產意外損失，WEEX唯客不推責，主動承擔所有客損賠償責任。 2022年9月13日晚間，因美國公佈的CPI數據遠超市場預期，引發市場極端行情，WEEX唯客部分地區App出現網絡異常以及短暫合約價格異常情況，導致部分用戶倉位受損。對此，WEEX唯客團隊在快速完成數據清點後，第一時間對受損用戶進行追蹤處理，賠付總金額超過百萬U，全部由WEEX唯客投資者保護基金承擔。 除了設立安全保護基金，WEEX唯客在保障系統穩定和數據安全方面也是未雨綢繆，「武裝到牙齒」。2022年12月18日，因阿里雲香港機房節點的一次故障，導致多家交易所出現系統異常、充值提現不到賬，宕機時間超過24小時。而WEEX唯客所有數據皆於海外數據庫嚴格保存，服務器多地部署和備份，並採用滿足軍事級、銀行級安全需求的亞馬遜AWS，以分散風險和應對各種線路狀況，在本次事件中保持服務線路穩定。 盤點歷次安全事件，普通投資者永遠是最被動且受傷害最大的群體。熊市中賺錢本來就不容易，若是本金受損無疑是晴天霹靂。因此，用戶在選擇交易平台時，一定要選擇安全保障措施充分、資金實力雄厚、負責任的平台，畢竟，保住本金安全永遠是頭等大事，而WEEX唯客憑藉安全透明、全球合規化不斷提升用戶的信任。

跌宕起伏的2022年已經收官，這一年，全球通脹「高燒」不退，美聯儲連續7次加息，金融市場受到巨大沖擊。其中加密市場更是動盪不安，比特幣全年下跌超六成，加密貨幣總市值蒸發上萬億美元，多家知名機構和交易所暴雷破產，投資者信心遭遇打擊。 然而就在如此嚴酷的市場環境下，WEEX唯客憑藉安全透明、專業合規的交易服務體驗，以及交易深度、一鍵跟單等特色優勢實現逆勢崛起，取得了豐碩的運營成果：註冊用戶超百萬，全年合約業務增長3000%，躋身全球交易所綜合排名前30。 隨著FTX暴雷，中心化交易所遭遇信任危機。在此背景下，「資產實力」無疑是考量一家交易所安全性最重要的指標。最新數據顯示，WEEX唯客排在非小號全球交易所綜合排行榜上位居第29位，若按資產實力計算，排名第22位，即將問鼎前20強。 非小號ExRank排名規則顯示，「資產實力」包括交易所錢包的持幣數量，交易所實際資產實力及投資機構、顧問團隊等因素。WEEX唯客由新加坡頂級區塊鏈投資機構投資1億美元打造，未發行平台幣，交易幣種主要為BTC、ETH等主流幣，資產儲備也主要由BTC、ETH、USDT等主流幣組成，幣值相對穩定，資產質量高，儲備結構優於絕大多數交易所，包括頭部平台。 更重要的是，WEEX唯客數據公開透明。平台以自有資金設立了1000BTC+1000萬USDT投資者保護基金，並公佈基金熱錢包地址，外界可隨時查看監控，資金動向一目瞭然，可讓用戶安心無憂。 此外值得注意的是，WEEX唯客主要提供合約交易，兼具現貨交易和OTC交易，未涉及其他衍生業務，平台聚焦交易服務主業，業務條線簡單明晰，資產和業務都較大多數平台透明、健康，投資者信任度較高。要知道，FTX暴雷的一個重要原因就是集團業務線複雜，關聯公司眾多，以及與solana等其他項目綁得太深。據媒體報道，FTX將半數客戶資產借給了關聯公司做高風險交易。 除了安全穩健運營，從各項業務發展來看，2022年也是WEEX唯客收穫滿滿的一年。 交易深度是除平台實力和資金安全性之外，用戶選擇交易平台時最重要的考察點，深度好的平台能夠在承接大額交易訂單時讓幣價保持相對平穩，不至於出現太劇烈的波動，不容易插針，不但降低了用戶持倉成本和流動性風險，而且能夠減少用戶爆倉所帶來的資金損失風險。 WEEX唯客專門成立了流動性中心，並在2022年10月完成流動性2.0升級，目前已躋身全球交易所流動性第一陣營，交易深度、訂單厚度優於大多數合約交易平台，直追幣安、OKX等頭部平台。 交易體驗方面，WEEX唯客推出一鍵跟單特色功能，可讓合約新手0門檻輕鬆跟隨專業交易員操作，在瞬息萬變的市場捕捉先機，提高交易勝率。跟單系統上線以來，累計跟單交易量已超過10億美元，用戶跟單淨利潤超500萬美元，跟單交易年收益率超365%。 品牌建設方面，WEEX唯客邀請臺灣綜藝天王吳宗憲坐鎮，擔任全球品牌大使，不但獲得巨大流量，快速打開了東南亞、東亞等用戶市場，而且取得「破圈」效應。 此外，WEEX唯客先後獲得美國MSB、加拿大MSB牌照，正在申請澳大利亞、菲律賓央行、馬耳他、馬來西亞等監管牌照，並於近期與加密支付提供商Alchemy Pay達成合作，在原OTC交易的基礎上，為全球用戶提供合規的法幣出入金服務，支持用戶通過Visa卡、Master卡、銀行轉賬、第三方支付等在170多個國家和地區進行加密貨幣-法幣實時兌換、結算交易，全球合規化更進一程。 每一輪熊市都是一次市場格局的重新洗牌，能夠在熊市中經受住考驗，實現突圍的平台往往具有更強的韌性、更雄厚的實力，待到新一輪牛市風口到來時，有望快速躋身頭部陣營。展望2023年，WEEX唯客將持續以提供最安全易用的交易服務為目標，精益求精打磨產品，全方位提升服務體驗，不斷鞏固交易深度優勢，並加快全球化業務拓展，實現平台綜合實力和交易規模新的跨越。

在投資者信心完全復甦之前，可能會有幾個月的行情盤整、商業模式調整甚至可能會有新的法規出台。

@0xfoobar 發現數百萬美元資產正從 FTX 錢包流出，快速又頻繁的交易十分異常 ; 有些提取資金還從 USDT 在去中心化交易所上換成 DAI。他很懷疑這些事發生了駭客事件還是內部行為。有些交易中還留下帶有仇恨訊息。 Hundreds of millions of dollars are now flowing out of FTX wallets, some speculate liquidators but it’s late on a friday night, not typical times for such rapid heavy movements. Some withdrawals are being swapped from TETHer to DAI. Hack or insider actions? $26 million here pic.twitter.com/8wWlaE7na9 — foobar (@0xfoobar) November 12, 2022 有數億美元從 FTX 錢包中流出 目前被標註為「Heist」(搶奪) 的以太坊地址 (0x59AB…32b)，已有 1.58 億美元價值資產。綜觀所有鏈上資產，此地址已累計 3.68 億美元資產。 另外，還有一些幣是由 0xd801…969 轉到 0x97f9…E5c，資安公司 PeckShield 表示，0xd801…969 的地址，看起來是由 Binance US 資助的 (意指轉入資金)，0x97f9…E5c 是由多簽智能合約控制，需要多個地址簽署才能執行，有可能是部分資金避難的行為。 鏈上數據公司 @lookonchain 整理已被駭資金列表見此。 根據推特 KOLherschΔ的爆料，駭客極可能為 FTX 的前員工 Samuel Hyde，且爆發原因及可能來自於 FTX 最高管理員的衝突所致： hacker IDENTIFIED AS EX-FTX DEVELOPER SAMUEL HYDE, MOTIVES ARE UNKNOWN BUT ACTIONS ARE LIKELY DUE TO A FALLOUT WITH TOP LEADERSHIP EARLIER THIS YEAR pic.twitter.com/61UmR4TEd3 — herschΔ (@tittyrespecter) November 12, 2022 此外，根據 Coindesk 的消息，全球最大的中心化穩定幣發行商 TETHer 已將稍早盜取 FTX 交易所的駭客地址列為黑名單。 該地址已成功盜取了超過 1.89 億美元，並將之銷贓為去中心化無法被凍結的 ETH、DAI。 鏈上數據顯示，該地址除了以太坊>外，還在雪崩協議上拋售了 390 萬美元的 USDT、solana 上拋售了 2,750 萬美元的 USDT。

google 將於明年起接受加密貨幣支付，及推出區塊鏈節點託管服務「Blockchain Node Engine」後，google 日前宣布其雲端服務 google Cloud 成為 solana 節點（solana validator）。 Hey @aeyakovenko 👋 Should we tell our followers the big news? — google Cloud (@googlecloud) November 5, 2022 google web3 產品經理 Nalin Mittal 在出席 solana《Breakpoint 會議》活動時表示，「我們希望以更具成本效益的『一鍵』解決方案來運行 solana 節點。」還透露將於明年把其以雲端為基礎的節點託管服務「區塊鏈節點引擎」帶進 solana，目前雙方已就合作展開相關工作。 google 的新產品名為 「區塊鏈節點引擎」（Blockchain Node Engine），可讓用戶利用 google 的雲端服務 google Cloud 產生新的節點，整個過程更簡便、快速與安全，允許 web3 公司能夠在 google Cloud 上直接轉發交易、部署智能合約，並讀取或寫入區塊鏈數據。 這項服務將由 google 完全管理，因此無需聘僱另外的團隊來維護和監控節點。根據 google 的說法，「它會自動監控節點，並在出錯時重新啟動它們」。然而，「區塊鏈節點引擎」要解決的兩大挑戰，是部署節點所需的時間，以及維持節點正常運作的困難任務，「區塊鏈節點引擎減少了這些痛點，並讓開發人士可完全控制他們的節點部署位置」。 google 推出的這項新服務還包括許多安全功能，如 google 的 Cloud Armor，設計目標是阻止 DDOS 攻擊，DDOS 會導致處理過程壅塞與網絡速度減慢。此外，客戶現在也可選擇其節點的地理部署位置。