出品|虎嗅科技组
作者|周舟
Solana,这个“拥有”2500万个热钱包的区块链巨头,正陷入一场危机。
自从2022年8月3日Solana生态发生了大规模盗币事件(数千名用户的钱包被盗、几百万美元不翼而飞)之后,已超过一周。Solana、媒体、监管机构......各个相关机构再也没有新的消息传出,似乎不再关心数千名被盗用户的损失。8月13日,这次大规模盗币事件被推上舞台中央的主角——Slope(Solana生态中的钱包)在推特上表示:推迟审计报表。
10天,一次针对区块链巨头的攻击,发生了,没人(除了用户)为此负责,结束了。
作为一家相对中心化的加密巨头,Solana近两年来风头正盛,被人们誉为“以太坊杀手”,通过效率和网络拓展能力,不仅布局公链、钱包、Defi、NFT等区块链全赛道,还和苹果一样做线上商城、做手机、做体恤......Solana俨然将自己打造成一个像Binance、阿里巴巴、谷歌这样的互联网巨头。
不过,繁华背后尽是隐忧。大规模用户遭遇损失的事件并非孤例,今年2月,黑客利用Solana在跨链桥上的漏洞盗取了3.2亿美元ETH。
而这些或许只是开始,一场危机悄然而至,Solana及其生态的安全性已经受到了人们的广泛质疑,而新的竞争对手也纷至沓来。
据虎嗅不完全统计,Solana生态遇到了至少四五次较大规模的问题。除了8月13日,Solana生态钱包Slope一直没找到(所有)钱包被盗的原因之外,最近的一次大事件是TVL造假。
TVL(锁定的总价值)于区块链公司的地位,有点像月活之于互联网公司。不管是机构投资者、股民、还是生态合作伙伴都会密切关注这一指标。不过,Solana便在这一指标上,被严重造假,而其创始团队竟然毫不知情。
8月5日,媒体报道,Solana上锁定的总价值(TVL)被一位开发者伪造,以致在一段时间内被严重夸大。Solana生态最大的Defi项目Sabre,其首席架构师Ian Macalinao伪造了11个开发者身份,在Solana的TVL达到105亿美元峰值时,Ian的项目占了其70%以上。创建了一个庞大的连锁DeFi协议网络,数十亿美元的价值被重复计算。
以一己之力,便为Solana贡献了超过70%以上的关键数据,而耐人寻味的是,这位开发者做完这一切之后,宣布不再呆在Solana生态里,转去竞争对手Aptos那边“工作”了。
实际上,随着暴雷事件的增多,Solana生态里可以被完全信任的机构或者产品,正在面临人们普遍的质疑。
TVL,不可信;钱包,不可信;跨链桥,不可信;NFT平台,不可信......生活于加密世界,就如身处黑暗森林,对于Solana来说,其广阔的生态,成为了加密黑客们的乐土,而对于普通用户而言,就如在黑暗森林中鲁莽点起火把的小孩。
在钱包被盗事件中,Solana表示核心代码没有问题,将自己置身事外。但是其钱包Slope、Phantom等钱包被攻击的真实和所有的原因迟迟没有找到。而Slope也在昨日将本该向公众发布的审计报告进行了无限期的推迟。
根据Dune Analyticts数据,被攻击的Solana独立钱包数量超9000个,用户损失已超过600万美元,而这个数字仍停留在8月5号之前,之后就再也没有相关机构更新数据。Solana生态中的多个项目,比如StepN都曾向用户警示目前的风险。虽然Solana生态中有多达2500万个热钱包,目前被攻击的只是其用户中的一小部分,这已然对于一家机构或者公司而言,是一件较大的危机事件,不过从目前的价格和市场的情绪来看,人们似乎认为这件事与Solana毫无关系,事件本身也被淡化处理。
对于Solana钱包被盗的分析,一开始Solana Labs首席执行官 Anatoly Yakovenko怀疑该漏洞可能与Apple iOS供应链问题有关,苹果公司莫名“躺枪”,加密巨头似乎喜欢把责任推给中心化巨头。随着更多数据的采集,源头缩小到对Slope集中式服务器的黑客攻击。起初,Slope的一位代表向媒体表示:“我们不会在集中式服务器上存储任何个人数据。” 不过,它们很快便承认了该问题。
现在的问题关键或许是Solana的核心代码是否有问题,而这将对整个Solana的影响是巨大。
一个奇怪的事实是:Solana foundation提供的数据显示近60%被盗用户使用Phantom钱包,30%左右地址使用Slope钱包,其余用户使用Trust Wallet,并且iOS和Android版本的应用都有相应的受害者。显然,这既不是Slope一家公司的问题,也不是iOS和Android背后所站立的苹果公司和谷歌公司的问题。Solana又宣称不是自己核心代码的问题。难道是用户的问题?
关键是,如果找不到问题所在,2500万个钱包还安全吗?上百万的Solana用户和开发者,还能安心建设吗?毕竟上一次大规模黑客攻击事件,便发生在今年2月,黑客利用Solana端合约签名验证漏洞盗取了3.2亿美元ETH。
此外,Solana生态中最大的NFT平台——Magic Eden,也受到了业内人士的质疑。它的NFT交易量占90%以上,如今估值16亿美元。然而它管理用户NFT托管的方式,过于集中,这使用户的资产容易受到攻击。托管所有上线的资产,而不是允许它们留在用户自己的钱包中。“黑客可以获得Magic Eden的密钥,并卷走它们的每个NFT。”一位Solana相关人士表示。
虽然,黑客目前只攻击了Solana的钱包和跨链桥,并且得手,但是这不意味着攻击事件将停止。“Solana生态中的NFT平台Magic Eden并不是去中心化的,人们的NFT资产保存在托管钱包。”这无疑意味着黑客可以获得Magic Eden的密钥并像攻击Solana钱包获取加密货币一样攻击NFT平台并获得每个人的NFT。而似乎并不是所有用户都知道自己的NFT在不同的平台上的安全程度,实际上是不一样的。
Solana钱包、Solana跨链桥、Solana Defi项目、Solana NFT平台......Solana生态接连发生事故,这也让其遭受了业内广泛的质疑。这家Web3巨头曾显示出足够的能成为下一个互联网巨头的潜力,但显然,它背后存在的问题,也足够多。