Web3在國內的火苗正在迅速熄滅

Web3在國內的火苗正在迅速熄滅




跑路、騙局、倒閉，在國內人們對Web3越來越“冷淡”了。
無事不登三寶殿，最近一位許久未見的朋友近期突然發來微信，在做了一陣招呼性的問候后表明了來意，原來是來問問有沒有合適的工作可以介紹的。

在之前我與他中途也有過聯系，知道他在國內一家老牌財經媒體旗下的區塊鏈新媒體工作，故很納悶他為什么在吐槽中會透露自己正在勞動仲裁的途中。原來其中途被成都一家新成立的Web3公司挖去做內容運營了，但令人萬萬沒想到的是在這里沒做幾個月老板就跑路了，現在只能一邊找工作一邊找勞動監察部門維權。



后面一查數據才知道，在國內成為Web3的大冤種的人還不少，據Electric Capital發布報告顯示，相比2020年12月，2021年全球研究開源加密貨幣和Web3項目的月活開發人員超過1.8萬人，增長了195%。同時，陀螺財經（未找到原始數據）展示的數據顯示，2022年9月在101.17億元的總投融資額度中，Web3領域以49.90億元額度領跑創投圈；但另一份數據則顯示，僅2022年9月在中國大陸就關停了47個Web3項目。

這些項目中有些是老板跑路了、有些是騙局破產了、還有些是經營不下去了不得不關停，更重要的是新建Web3項目居然出現了環比下滑，至少從數量上來看已出現了拐點，不少Web3從業者也坦言對其越來越失望了，Web3在國內的火苗看上去正在迅速熄滅。

01 越來越魔幻的Web3
Web3在國內的火苗看上去正在迅速熄滅，一樁樁魔幻的亂象一定擺脫不了關系。

先說數量不少的Web3騙局，從早期的加密貨幣到后面的NFT（國內閹割成了數字藏品）均存在不少龐氏騙局?！都~約時報》的一篇文章提到：“這種騙局式的模式很惡心，它玷污了“web3”。不過另一方面，這個“賭場”也帶來了大量的關注和資本。之后，市場崩潰了。2022 年 5 月上半月，比特幣下跌了約 25%。就像 2000 年互聯網泡沫崩潰時一樣，以太坊和其他更多的項目持續下跌?！?br />
例如當你遇上技術問題并在Discord上尋求幫助時，出現自稱來自OpenSea的人來給你提供支持。假技術人員可能會要求你分享屏幕來檢查發生什么事，從而讓你在無意間泄露了加密貨幣錢包的憑證。在這個時候，他們可能會截圖你的助記詞或連接它的二維碼。詐騙者也可能將你引導到看似OpenSea官方網站的網頁，要求你輸入詳細的個人信息，從而盜走你的NFT。

而在國內Web3的騙局則更接地氣甚至搞笑一些。例如之前在云南名為“瓦貓之夏”的Web3大會，大會邀請了不少海外的Web3人事做演講，整得像模像樣的，但還未開始就被公安盯上這其實是境外勢力別有目的的會議被叫停，據說一些贊助商連夜剪logo提桶跑路。

除了這些詐騙緋聞，國內Web3還有一批因經營問題草草關門。以數字藏品為例，據公開數據，2019年至2022年7月15日，國內數字藏品平臺已有998家，其中2022年僅上半年即新增數字藏品平臺639家，但其中多數平臺活躍度僅停留在3位數，并且不少平臺已出現停售、停業了，例如騰訊新聞將暫停數字藏品的售賣服務，騰訊音樂旗下的 TME 數字藏品處于近乎 " 停擺 " 的狀態，平臺在 6 月 30 日后停止了發售更新，天穹數藏2022 年 9 月發布公告停止發布數字藏品。即便是國內數字藏品龍頭幻核，在未滿一周歲之際也發布公告稱,自2022年8月16日起,幻核將停止數字藏品發行。



《紐約時報》曾提到：“一個價值數千億美元的全球產業幾乎在一夜之間崛起，而如今它正在崩潰，web3 這個行業的價值在幾周內估計已經下跌了65% 以上?！倍鴮⑦@句話套用在國內，也能看見，Web3在國內的火苗在自身與政策多重因素下終于與國際接軌，其火苗正在變弱。

02 良幣驅逐劣幣
之前在青年投資家俱樂部投資人社群中潛水時，一位有區塊鏈行業近10年從業經驗的投資機構董事總經理就坦言，現在大家都是對a16z亦步亦趨，至于Web3是什么，Web3.0又是什么，項目要怎么活全然不關心。

所以如果說一樁樁魔幻的亂象是導致Web3在國內的火苗變弱的直接原因的話，那么其根本原因則是良幣驅逐劣幣，想著割一波韭菜、濫竽充數的項目在真正具備價值的Web3項目沖擊性逐步失去市場。

我們可以發現2021年似乎把Web3分成了一條涇渭分明的大河，2021年及其之前，我們看到傳統互聯網企業如騰訊、阿里、字節、映客、陌陌等相繼宣布步入Web3這條大河，至于做什么呢？當然是虛擬形象與NFT。再之后我們還看到，像李寧、奈雪的茶、星巴克等更傳統的企業，也對外宣稱要進軍Web3，不過他們發布的還是NFT，但NFT本身是不能產生價值的。

而到了2022年可以看到，現在最熱門的6個Web3項目（Helium、DeeperNetwork、Arweave、Polkadot區塊鏈、Ocean Protocol 、Theta Labs）中每個都是奔著解決實際問題去的，而這是具備現實價值的，所以在泡沫破裂之時其依舊備受推崇。

以創作者經濟為例（創造者經濟是指平臺讓創作者可以通過做自己喜歡的事情來賺取收入，如YouTube和TikTok），在Web2時代，雖然創作者可以通過商品、訂閱、廣告或打賞獲取收入，但在實際運作過程中，只有擁有大量關注者的前1%的創作者才能可持續，而且平臺在創造者創造的收入中還要拿走一大部分，利益分配是不均的。而基于Web3的創作者經濟，雖然還是逃不掉馬太效應影響，但是去中心化平臺內容分發機制更加靈活，加上平臺獎勵機制，讓更多創作者能夠享受到創作紅利。

例如Web3創作者社交平臺Raiinmaker，創作者通過向Raiinmaker的社交頻道（包括Instagram、TikTok、Twitter、Facebook）和活動提交內容，就有機會獲得COIIN代幣、NFT等獎勵，通過貢獻內容提升影響力，而目前國內的Web3創作者社交平臺也在不斷涌現。

所以Web3在國內的火苗并非正在迅速熄滅，而是良幣驅逐劣幣，人們對Web3的態度也絕非是冷淡，而是回歸正常。

Web3第一大黑客事件，攻擊涉及總金額超8.5億美元，BNB Chain遭受攻擊分析

中商網
2022年10月7日，據成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示，BNB Chain跨鏈橋“代幣中心”（Token Hub）遭遇黑客攻擊，由于涉及的金額較為龐大，并且涉及多個鏈之間的跨鏈，根據成都鏈安安全團隊的整理與追蹤，目前整理出7.1億美元是幣安鏈上未涉及跨鏈部分的被盜資產，加上跨鏈部分的被盜資產，我們初步估計涉及金額在8.5億左右。

這場震動整個行業的“攻擊”事件因何發生，關于本次事件，成都鏈安安全團隊第一時間進行了分析。

1 BNB Chain如何被黑客盯上

北京時間10月7日6點左右，BNB Chain發推表示，由于活動異常，目前正在維護中，暫時暫停所有通過BNB鏈的存取款，直到有進一步的更新。

BNB Chain在另一推文表示，被提取資金約7000萬至8000萬美元，已凍結700萬美元。



7點41分，幣安CEO趙長鵬發推表示，在BNB Chain跨鏈橋“代幣中心”（Token Hub）上的一個漏洞導致了額外的BNB，已要求所有驗證者暫停BNB Chain，這個問題現在得到了控制，資金是安全的，將相應地提供進一步的更新。



這一次，黑客再次盯上跨鏈橋，因為跨鏈橋的復雜性以及累計的巨額財產，因此跨鏈橋往往成為黑客攻擊的首要目標，關于本次攻擊事件的詳細經過，我們接著往下看。

2 攻擊時間以及黑客手法解析

10月7號零點55分，黑客于區塊高度 21955968 通過調用合約繳納 100 BNB 注冊成為 Relayer。

凌晨兩點半左右開始，黑客從BNB Chain的“代幣中心”（TokenHub）系統合約分兩次（2:26、4:43）共獲取了200萬枚BNB。并將其中90萬枚BNB在BNB Chain上借貸協議Venus進行抵押，借出6250萬BUSD、5000萬USDT、3500萬USDC。

成都鏈安安全團隊現將手法解析如下：

幣安跨鏈橋BSC Token Hub在進行跨鏈交易驗證時，使用了一個特殊的預編譯合約用于驗證 IAVL 樹。而該實現方式存在漏洞，該漏洞可能允許攻擊者偽造任意消息。

1）攻擊者先選取一個提交成功的區塊的哈希值（指定塊：110217401）

2）然后構造一個攻擊載荷，作為驗證IAVL樹上的葉子節點

3）在IAVL樹上添加一個任意的新葉子節點

4）同時，添加一個空白內部節點以滿足實現證明

5）調整第3步中添加的葉子節點，使得計算的根哈希等于第1步中選取的提交成功的正確根哈希

6）最終構造出該特定區塊（110217401）的提款證明





當然，有一些細節還要進一步推敲，成都鏈安安全團隊正在進行深入研究，有結果將第一時間與大家分享。

成都鏈安安全團隊通過鏈必追-虛擬貨幣案件智能研判平臺對被盜資金進行追蹤分析，發現總計有1億4357萬美元的被盜資金通過跨鏈進行轉移（含借貸）。被盜資金中有7739萬美元的資金通過各種跨鏈轉入了以太坊，5896萬美元的資金留存在FTM鏈中（含各種gUSDT），400萬美元的資金在Arbitrum鏈中，172萬美元的資金在Avalanche鏈中，40萬美元的資金在Polygon和110萬美元在Optimism。



鏈必追-虛擬貨幣案件智能研判平臺智能研判模塊



鏈必追-虛擬貨幣案件智能研判平臺地址分析模塊



鏈必追-虛擬貨幣案件智能研判平臺資金分析模塊



成都鏈安安全團隊根據鏈必追平臺進行的資金統計

3 恢復出塊的BNB Chian還安全嗎？

10月7日9點半左右，BNB Chain官方在社交媒體上發文表示，已要求BNB Chain節點驗證者在未來幾個小時內與其聯系，以便可以計劃進行節點升級。



到了下午13點，BNB Chain發推稱，已發布BSC v1.1.15版本，BSC驗證者正在協調，以尋求在1小時內恢復BNB智能鏈（BSC）。新版本將阻止黑客賬戶相關活動。BNB信標鏈和BNB智能鏈之間的原生跨鏈通信已禁用。官方要求所有節點運營者嘗試升級至上述版本。驗證者和社區將討論進一步升級以完全解決此問題。

下午三點左右，BNB Chain發推稱，BNB智能鏈（BSC）20多分鐘前開始良好運行。驗證者正在確認他們的狀態，社區基礎設施也在升級。此外，BscScan數據顯示，BNB Chain網絡已恢復出塊。



成都鏈安安全團隊監測顯示，重啟之后，當前BSC節點程序通過黑名單與暫停iavlMerkleProofValidate功能的方式阻止被盜資金流動與潛在的攻擊。





4 寫在最后，關于跨鏈橋安全的討論

由于區塊鏈經過了一段不短的發展時間，無論是區塊鏈項目方自己還是區塊鏈安全公司對于安全的重視程度都高于了以往，但是跨鏈橋這種代碼復雜且含有鏈下部分的項目非常容易遭受攻擊。

跨鏈橋通常都是一些大項目，代碼量較多，多個環節的組合下就容易出現一些組合型漏洞，然而這些漏洞又是較為隱蔽的，容易被黑客所利用?？珂湗蜻€有一個高危點就是鏈下安全，由于鏈下代碼一般與鏈上代碼分開審計，并且通常由項目方自己來保證安全，導致很多漏洞被忽視。




以往的跨鏈橋攻擊通過線下漏洞或者是私鑰泄露等方式的攻擊較多，本次攻擊通過的構造特定的根哈希來構造出特定區塊的提款證明，從而使攻擊成立，攻擊難度比較大，并且數額較以往來說也比較高。本次事件也提醒了我們漏洞往往就在一些我們想不到的地方，因此只能不斷去完善項目安全，比別有用心者更早的去發現這些問題所在，才能夠更加維護我們的區塊鏈生態安全。

成都鏈安作為一家致力于區塊鏈安全生態建設的全球領先區塊鏈安全公司，也是最早將形式化驗證技術應用到區塊鏈安全的公司，成都鏈安目前已與國內外頭部區塊鏈企業建立了深度合作；為全球2500多份智能合約、100多個區塊鏈平臺和落地應用系統提供了安全審計與防御部署服務。成都鏈安同時具備全鏈條打擊虛擬貨幣犯罪和反洗錢技術服務能力，為公安等執法部門提供案件前、中、后期全鏈條技術支持服務千余次，包括數起進入混幣器平臺Tornado Cash的案件，成功協助破獲案件總涉案金額數百億。

本文來自：艾瑞網