虎嗅科技集团出品
作者|周舟
主管|视觉中国
拥有“2500万热钱包”的区块链巨头索拉纳陷入了危机。
距离2022年8月3日索拉纳生态发生大规模盗币事件(数千用户钱包被盗,数百万美元不翼而飞)已经过去一周多了。索拉纳、媒体、监管机构…………………8月13日,因这起大规模盗币案被推到舞台中央的主角—— Slope(索拉纳生态中的钱包)在推特上表示:推迟审计声明。
10天,发生了一次对区块链巨人的攻击,没有人(除了用户)对此负责。一切都结束了。
作为一个相对集中的加密巨头,Solana在过去的两年中一直处于风口浪尖,被誉为“以太坊黑仔”。索拉纳通过其效率和网络扩张,不仅布局了公链、钱包、德菲、NFT等区块链的全赛道,还像苹果一样做网上商城、手机和体恤服务.索拉纳已经成为像币安、阿里巴巴和谷歌一样的互联网巨头。
然而,繁荣的背后也有隐忧。大规模用户流失并非孤例。今年2月,黑客利用Solana在跨链桥上的漏洞窃取了3.2亿美元的ETH。
而这些可能只是开始,一场危机已经悄然而至,索拉纳及其生态安全受到人们的广泛质疑,新的竞争对手也正在到来。
据虎嗅不完全统计,索拉纳生态至少遇到过四五次大规模的问题。除了8月13日,索拉纳生态钱包坡始终没有找到(所有)钱包被盗的原因,最新的大事件是TVL诈骗。
TVL(总锁定价值)在区块链公司的位置,有点像住在互联网公司的月亮。机构投资者、股东和生态伙伴将密切关注这一指标。但索拉纳在这个指标上严重造假,其创始团队并不知情。
8月5日,媒体报道索拉纳上的总锁定值(TVL)是某开发商伪造的,以至于在一段时间内被严重夸大。伊恩马卡里诺是索拉纳最大的生态Defi项目Sabre的首席建筑师,他伪造了11个开发者身份。当索拉纳的TVL达到105亿美元的顶峰时,伊恩的项目占了其中的70%以上。一个庞大的链式DeFi协议网络被创建,数十亿美元的价值被反复计算。
凭着自己的努力,他把70%以上的关键数据贡献给了索拉纳。有趣的是,在经历了这一切之后,开发者宣布不再留在索拉纳的生态中,与竞争对手Aptos“合作”。
事实上,随着雷暴的增多,索拉纳生态中可以完全信赖的机构或产品正面临着广泛的质疑。
TVL,不可信;钱包,不可信;跨链桥,不可信;NFT平台不可信.生活在一个加密的世界就像生活在一个黑暗的森林里。对于Solana来说,其广阔的生态成为了加密黑客的天堂,而对于普通用户来说,这就像是一个孩子在黑暗的森林里肆无忌惮地点燃火炬。
在钱包失窃事件中,索拉纳称核心代码没有问题,将自己置身事外。但是,斜坡、幻影等钱包被攻击的真正的、全部的原因还没有找到。斯洛普还无限期推迟了本应在昨天向公众公布的审计报告。
Dune Analyticts数据显示,被攻击的Solana独立钱包数量超过9000个,用户损失超过600万美元,但这一数字仍停留在8月5日之前,此后再无相关机构更新数据。Solana生态系统中的许多项目,如StepN,已经警告用户当前的风险。虽然Solana的生态系统中有多达2500万个热钱包,但目前只有少部分用户受到攻击,这对于一个组织或公司来说已经是很大的危机了。但从目前的价格和市场情绪来看,人们似乎认为此事与索拉纳无关,事件本身被淡化了。
对于被盗的索拉纳钱包的分析,起初索拉纳实验室首席执行官阿纳托利亚科文科怀疑该漏洞可能与苹果iOS的供应链问题有关。苹果莫名其妙地“放下了枪”,加密巨头似乎喜欢把责任推给集权巨头。随着更多数据的收集,来源缩小到黑客对Slope集中式服务器的攻击。起初,Slope的一名代表告诉媒体:“我们不会在集中式服务器上存储任何个人数据。”然而,他们很快承认了这个问题。
也许现在的关键问题是索拉纳的核心代码有没有问题,会对整个索拉纳产生巨大的影响。
一个奇怪的事实是,索拉纳基金会提供的数据显示,近60%的被盗用户使用Phantom wallet,约30%的地址使用Slope wallet,其余用户使用Trust Wallet,iOS和Android版本的app都有相应的受害者。显然,这不是一个叫Slope的公司的问题,也不是iOS和Android背后站着的苹果和谷歌的问题。索拉纳还声称不是她核心代码的问题。是用户的问题吗?
重点是,如果找不到问题,2500万的钱包还会安全吗?数百万Solana用户和开发者能否安心建设?毕竟上一次大规模黑客事件发生在今年2月,黑客利用Solana端合约的签名验证漏洞窃取了ETH 3.2亿美元。
此外,索拉纳生态中最大的NFT平台——Magic Eden也遭到了业内人士的质疑。其NFT交易量占90%以上,目前估值16亿美元。然而,它管理用户NFT托管的方式过于集中,这使得用户的资产容易受到攻击。托管所有在线资产,而不是让它们留在用户自己的钱包里。\”黑客可以得到魔法伊甸园的钥匙,带走他们的每一个NFT . \”一位索拉纳相关人士表示。
虽然黑客目前只攻击了索拉纳的钱包和跨链桥并成功,但并不意味着攻击会停止。“魔力伊甸园,索拉纳生态中的NFT平台,并不是分散的。人们在NFT的资产放在有管理的钱包里。”这无疑意味着黑客可以像攻击索拉纳钱包获得加密货币一样,获得魔法伊甸园的密钥,攻击NFT平台,获得每个人的NFT。似乎并不是所有用户都知道自己的NFT在不同平台上的安全程度,这其实是不一样的。
Solana钱包、Solana跨链桥、Solana Defi项目、Solana NFT平台等……………….这个Web3巨头已经表现出足够的潜力成为下一个互联网巨头,但显然,背后也有足够多的问题。
正在改变和想要改变世界的人都在嗅这个应用。
