FTX事件始末 黑客攻擊總結：CertiK2022 第四季度Web3.0行業安全報告_FTX

2022年第四季度的主要事件想必無人不知，而這也是能夠被載入Web 3.0史冊的事件：FTX的急轉直下，近乎于一夜之間崩塌。雖然該事件在導火索被點燃前已有了明顯的傾塌征兆，但因其畢竟是行業內的第二大中心化交易所，FTX的倒臺無疑還是震驚了許多人。

我們在此也會為大家簡單剖析一下這次事件造成的原因，以及使這種欺詐行為得以發生的非Web 3.0商業模式的獨特特征。

FTX事件讓數十萬，甚至數百萬的用戶的數十億美元資產無法提取從而變成永久性損失。隨著人們的注意力從Web 3.0平臺遭受的持續損失上轉移開，DeFi在相比之下出現了一段“緩和期”。中心化交易所和服務永遠無法如去中心化的應用程序一般成為Web 3.0持續運轉的關鍵。

因此如果Web 3.0要發揮其真正的潛力，就需要百分百執行安全審計。本報告將分析過去三個月里Web 3.0世界中最主要的幾起安全事件。

若想要回顧2022全年的情況，請持續關注CertiK官方公眾號，我們隨后將發布《2022年度Web3.0行業安全報告》。

① 2022年第四季度，惡意攻擊者從Web 3.0領域中盜取了約9.5億美元的資產。

② 這一數字相比今年第一季度損失的13億美元峰值有所下降，但較于第三季度損失的5.04億美元增加了88%。

③ 僅11月的資產損失就占據了第四季度總損失的50%以上，主要資產損失來自于FTX錢包在該交易所崩潰期間損失的約5億美元。

行業人士：由于很難再次申請牌照且用戶信任受損，FTX重啟困難重重:1月20日消息，針對FTX新任CEO考慮重啟加密貨幣交易所一事，Binance Australia首席執行官Leigh Travers評論稱，FTX將很難再次獲得許可證，特別是在該行業進入新的一年，監管機構加強監管和監督的情況下。Travers還指出，自關閉以來，FTX用戶已經遷移到“其他平臺，比如Binance。他質疑這些用戶是否會放心地回去。

澳大利亞律師事務所Gadens合伙人、數字資產律師Liam Hennessy認為，鑒于FTX的聲譽受損和缺乏信任，任何客戶或投資者“都很難再接近他們。Hennessy還對FTX是否會再次獲得許可表示懷疑，稱這將打上一個很大的問號，完全取決于司法管轄區。該律師認為，在一些離岸司法管轄區，交易所獲得牌照審批會更容易，但如果用戶不打算回歸，那就毫無意義了。

與此同時，RMIT大學區塊鏈創新中心的高級法律講師Aaron Lane表示， FTX考慮恢復交易所業務“并不奇怪”，他指出這是第11章破產程序的目的，讓公司能夠提出一個計劃來運營業務，并在法院批準的情況下“隨著時間的推移”償還債權人。[2023/1/20 11:23:08]

④ 第四季度發生了78起退出騙局，共盜取了約5268萬美元，37起閃電貸與預言機操縱的漏洞共造成了約1439萬美元的損失。

⑤ 整個2022年Web 3.0領域的安全形態仍為大規模攻擊占據主要資產損失，僅三個獨立的跨鏈橋漏洞就造成了約1.1億美元的損失。

⑥ 第四季度CertiK審計的Web 3.0項目數量仍在持續上升，目前審計的項目總數已達到了5046個。

FTX向管理其破產的代理律師事務所Sullivan & Cromwell支付了1200萬美元，用于處理破產申請早期工作:12月23日消息，FTX向管理其破產的代理律師事務所Sullivan & Cromwell支付了1200萬美元用于處理FTX申請第11章破產保護的早期工作，該部分費用于FTX申請破產之前支付。另一家律師事務所Quinn Emanuel擔任FTX和其董事會在訴訟方面的特別顧問，以尋求破產財產可能帶來的法律索賠，該公司在FTX提交破產申請前的三個月內收到了約57.5萬美元。[2022/12/23 22:03:55]

FTX，作為曾經的第二大中心化加密貨幣交易所，日落后已燃盡余輝。曾幾何時，Sam Bankman-Fried（山姆·班克曼-弗里德）的面孔還出現在世界各地的廣告上。在過去的這段時間，有無數記者們以Sam為主題撰寫了文章。邁阿密熱火的主場場館甚至也已被FTX冠名（由AmericanAirlines Arena改為了FTX Arena），冠名合約有效期至2040年。直到今年11月初，FTX還在高歌猛進，

然而這一切都在一周之內轟然倒塌，化為泡影。目前，Sam繳納了2.5億美元的高額保釋金后保釋出獄，兩名Alameda公司的高級管理人員承認檢方指控犯罪事實，并同意配合對其前老板的起訴。

FTX總部設立于巴哈馬，雖然沒有人知道美國法院將如何對其采取行動，但是我們可以在此先將該事件的始末進行初步梳理??：

11月2日：CoinDesk發布了一篇文章，表達了對Alameda Research資產中由FTT（FTT是FTX創建的交易所token）組成比例的擔憂。

11月6日：Binance首席執行官趙長鵬“CZ”表示，他將出售Binance總額為5.8億美元的FTT持股，這些持股來自他對FTX的早期投資。

Chipper Cash在FTX破產前的估值從20億美元降至12.5億美元:金色財經報道，根據《金融時報》分享的關于Alameda風險投資組合的文件，非洲金融科技公司Chipper Cash在破產前的估值從20億美元降至12.5億美元。去年5月，Chipper Cash籌集了1億美元的C輪融資，由美國高科技商業銀行硅谷銀行的投資部門SVB Capital領導。6個月后，它又獲得了1.5億美元，該輪融資的延長使Chipper Cash總共籌集到2.5億美元。已經倒閉的加密貨幣交換平臺FTX領投了這一輪融資，Chipper Cash的估值飆升至20億美元，成為去年非洲五大獨角獸之一。[2022/12/7 21:28:15]

Alameda Research首席執行官Caroline Ellison現在已經承認了兩項電信欺詐罪和五項共謀罪，涉及電信、證券和商品欺詐以及洗錢：為CZ提供了一個場外交易。

原文大致翻譯如下：@cz_binance 如果你想盡量減少市場對你銷售FTT的影響，今天Alameda會很愿意以22美元的價格向你購買所有FTT!   

CZ顯然拒絕了這一提議，然而當FTT最終突破22美元大關后，其價格驟然暴跌。

來源: CoinMarketCap

11月7日：FTX用戶的恐慌情緒蔓延開來，大量用戶試圖從平臺上撤回他們的資金，但是僅有極少部分用戶成功。

馬斯克：推特上有關FTX的報道比傳統媒體更好:11月17日消息，推特CEO Elon Musk在社交媒體發文表示，與老式媒體相比，在推特上有關FTX崩潰的報道無與倫比，而且質量更好。更不用說還流傳著很多meme。[2022/11/17 13:17:07]

11月8日：在對圍繞其交易所償付能力的傳言保持了長時間的沉默后，Sam Bankman-Fried終于宣布將FTX出售給Binance。

原文大致翻譯如下：大家好：我有幾個消息要宣布。事情已經圓滿結束，http://FTX.com 的第一個，也是最后一個投資者是相同的：我們已與Binance就FTX.com戰略交易達成協議(等待盡職調查結果)。

11月9日：Binance退出了交易。

原文大致翻譯如下：根據企業盡職調查的結果，以及關于客戶資金處理不當和涉嫌美國機構調查的最新新聞報道，我們決定不再對http://FTX.com 進行潛在收購。

與此同時，美國證券交易委員會（SEC）和司法部（DoJ）對FTX展開調查。

11月10日：巴哈馬證券委員會凍結了FTX并任命了清算人。

11月11日：FTX按照美國破產法第11章申請破產。Sam Bankman-Fried辭去首席執行官一職，由曾管理Enron公司破產程序的John J. Ray III（約翰·雷三世）接任。

FTX.US總裁：加密衍生品業務是 2022 年的優先事項:金色財經報道，FTX.US 總裁 Brett Harrison 在采訪中表示，FTX.US 的用戶從 2021 年初的不到 1 萬增加到年底的大約 120 萬，增幅近120倍。加密衍生品業務對于該公司2022年的增長計劃至關重要。該公司于去年 8 月收購了數字貨幣期貨和期權交易所 LedgerX，后更名為 FTX US Derivatives。FTX.US 還向商品期貨交易委員會 (CFTC) 申請向零售和機構客戶提供比特幣和以太坊期貨。Harrison表示：“通過 FTX US Derivatives，收購一家擁有現有許可證的公司，這是一個更快的過程。我們可能有機會收購擁有許可證的公司，這些許可證擁有監管部門的批準，以提供不同類型的衍生品業務線”。

此前報道，FTXUS以80億美元估值融資4億美元，軟銀和淡馬錫參投。（blockworks）[2022/1/29 9:21:19]

11月12日：《華爾街日報》報道，FTX將客戶的存款交給Alameda Research，以幫助其履行債務償還責任。而Alameda的高管知道這一協議其實違反了FTX的服務條款。

大約有5億美元的FTX資產被從平臺轉出。有傳言說巴哈馬政府曾指示撤出資產，但隨后該政府否認了這一說法。

11月14日：紐約的聯邦檢察官對欺詐指控展開調查。

11月16日：美國立法者要求Sam Bankman-Fried以及Alameda和Binance的高管在12月的國會山聽證會上作證。

11月17日：即將上任的FTX首席執行官John J. Ray III在一份法庭文件中說：“在他的職業生涯中，包括在Enron丑聞期間，他從未見過失敗的如此透徹的公司管理控制。”這包括“系統的完整性受到損害，國外監管存在缺陷，以及控制權集中在極少數沒有經驗、不成熟和不良信譽的個人手中。”

12月12日：在紐約聯邦檢察官提出刑事指控后，Sam在巴哈馬被捕。

12月13日：美國證券交易委員會指控Sam Bankman-Fried詐騙投資者。

12月20日：在被拘留8天后，Sam Bankman-Fried同意被引渡到美國。

12月27日：據彭博社報道，美國司法部已對11月FTX價值數億美元資產遭到提取一事展開調查。

目前，Caroline Ellison和Gary Wang已經承認了聯邦指控，其欺詐行為已被證實。

如果想通過收聽方式了解更多FTX事件始末及細節，請復制以下鏈接至瀏覽器https://m.ximalaya.com/sound/590419909?from=pc

播放CertiK首席運營官曹亞昕博士關于《FTX極速墜落》的專訪節目。

以去中心化為榮的Web 3.0世界，為何會出現如此問題？

其實，FTX并不是一家Web 3.0貨幣公司。它是一個允許進行數字資產交易的中心化平臺。它依賴于用戶對平臺遵守其服務條款的信任，而高管層則惡意利用了這種信任。

那么有更好的解決方案嗎？

當然。與FTX這樣的中心化交易所相對應的則是Web 3.0行業中的去中心化交易所（DEX）。而FTX管理層的欺詐行為在DEX中可以說是幾乎不可能實現的。因為資金流動公開透明，用戶的存款不可能被秘密轉移到某些交易公司。

因此，開放的Web 3.0協議可作為FTX事件的解決方案，而其也不該被抹上與欺詐性中心化交易所相同的污點。

不過，目前Web 3.0解決方案尚未進入黃金時代。如上文所述，僅2022年第四季度，就有約10億美元的資產從生態系統中不翼而飛。在Web 3.0世界能夠實現其安全、自由和公平的生態系統供所有人使用的承諾之前，安全標準需要不斷提高。

下面就讓我們來看一下第四季度最大的漏洞事件之一：Mango Markets事件。該事件凸顯了在構建Web 3.0協議時平臺需謹慎設計的重要性。

在Solana上運行的Mango Markets平臺，于2022年10月初遭到攻擊，損失了約1.16億美元。Mango Markets利用Serum（DEX）進行現貨保證金交易，而永久期貨則在Mango Markets自己的訂單簿上進行交易。Mango Markets 由MNGO持有人通過Mango DAO管理。

而這一攻擊事件即是利用了該協議的組成部分。

推特用戶Avraham Eisenberg公開聲稱自己參與了Mango Markets的漏洞攻擊，并暗示了還有其他未知人士同他一起操作。這些人利用了大量資金來操縱Mango Markets協議。

2022年10月11日，攻擊者們在Mango Markets上夸大了他們的抵押品價值，并針對這些資金進行了大量貸款。

攻擊者們用500萬美元的USDC為錢包CQvKSNn（賬戶A）提供資金，然后在訂單簿上鑄造了4.83億份的MNGO永續合約。

隨后，攻擊者們向第二個錢包4ND8FVPj（賬戶B）提供資金，并用它以每單位0.0382美元的價格購買4.83億單位的MNGO。因此，攻擊者能夠將MNGO的價格提高到0.91美元，也因此能夠讓賬戶B借到更多資金。賬號B以MNGO作為抵押品，借出了1.16億美元的貸款，此時 Mango 的流動性被耗盡：賬戶A有大約有11,537,729.05美元的債務無法收回，賬戶B有大約1.15億美元的借貸token。

Eisenberg聲稱他的團隊執行了一個“高利潤的交易策略”，使Mango Markets陷入破產，但他也指出，他有興趣歸還一部分用戶資金。Mango Markets團隊最終與攻擊者進行了談判，攻擊者在10月20日DAO治理投票后歸還了6700萬美元。剩下的被盜資金被轉移到錢包Hy4ZsZk，隨后被進一步轉移。目前該錢包仍持有約274萬美元資產。

原文大致翻譯如下：開發團隊部分忽略了以這種方式設置參數的后果和風險。但我相信我們所有的行為都是合法的公開市場行為，也是按照設計使用協議。

遭遇攻擊耗盡其流動性的項目很少有機會翻身，Mango Markets是否會恢復猶未可知。Mango Markets網站稱，他們將部署第四個版本的平臺，其中包括已更新的安全和風險緩釋策略，不過相關細節還沒有被公布。

目前，Mango Markets的Discord仍具有活躍度，每隔幾天就會有用戶要求提供關于第四版部署的信息，其管理員也處于活躍在線狀態。不過目前這個階段，該團隊似乎沒有通報發布日期或與他們計劃有關的其他信息。

在Mango Markets事故的后期，Avraham Eisenberg在波多黎各被捕，并于12月27日被司法部指控商品欺詐和商品操縱。此案的結果將成為美國DeFi監管的一個里程碑事件。

FTX如過山車一般的故事正是Web 3.0試圖要避免的：信任本不應該輕信的機構、缺乏透明度、公然欺詐……

而2022年對投身于Web 3.0市場的人來說，或許是比較煎熬的一年。除了FTX的崩塌以及其造成的連鎖反應使行業中的一些大企業倒閉之外，整個Web 3.0市場的行情和整體價格都相對低迷。

但2023年或許是一個新的機會。讓我們回到初心，專注于真正重要的事情：建立安全、透明、開源的應用程序，將權力交還給用戶。Web 3.0也需要從寫進區塊鏈永久歷史的教訓中學習，通過安全協議設計、部署前代碼審計和部署后監控來提高整個行業的安全水準。

無論何時，安全對于用戶、開發者和整個行業的未來都是至關重要的。

CertiK中文社區

企業專欄

閱讀更多

金色財經

金色財經 子木

金色早8點

去中心化金融社區

虎嗅科技

區塊律動BlockBeats

深潮TechFlow

念青

Odaily星球日報

Tags：FTXMANWEBMANGOLONDON Vault (NFTX)MANEKI Vault (NFTX)web3.0幣種MangoMan Intelligent

比特幣