分析幣系列_5:從Solana 智能合約被黑客入侵看中心化公司的深層問題
Solana 又出事,但今次主要問題來自智能合約的漏洞令駭客有機可承,筆者將分析背後主要原因
之前分析過Solana 死機事件發生的原因,去年九月發生死機之後再發生丁三次,多次死機的解釋原因是太多交易流貴造成擠塞或被Ddos, 在一月那一次甚至死機3日,最大問題是死機後失去左一些數據,之後Solana做了一些提升, 不過我想評論Solana 除了技術方面,還有其他問題需要關注。
Solana最近發生丁兩次大型黑客事件,我們分析為何會發生
今年2月,Solana的跨鏈橋Wormhole 被黑客利用保安漏洞盜取等值3億7千5百萬美元的以太幣,成為五大加密貨幣黑客事件𥚃其中款項失竊最多的一宗,2月2日Wormhole 公司在其Twitter貼文公佈關閉wormhole 網絡維修,之後另一個貼文更承認被黑客入侵。
我簡單敘述件事。Wormhole 是Solana 的DAPP, 寫了一個智能合約一邊在以太坊平台上持以太幣作為抵押,然後另一邊在solana 區塊鏈上鑄造wormhole Eth (weth)智能合約兩邊操作就如一條橋,智能合約原本要求一邊必須要持有eth, 才可以在solana 鑄造weth , 然後鑄出的weth便可以在solana 區塊鏈上進行交易,過程中,eth轉wormhole eth 或掉轉weth 轉eth, 中間必須要有guardian signature 做認證,黑客利用wormhole 橋漏洞, 不知怎樣卻可以假冒guardian 簽名或繞過驗證步驟, 在無需持有eth 便鑄造了120000個weth , 黑客利用wormhole橋的漏洞在25分鐘內將12萬個weth兌換90000個eth, 這是wormhole 池擁有的eth, 因此wormhole 損失3億7千5百萬美元嘅eth。這事件引發defi失去抵押品問題,一部份借貸沒有抵押品,wormhole 公司需要自己填補eth。
Wormhole 是solana 的DAPP, 由於智能合約有漏洞導致黑客失事事件,而不是solana 區塊鏈的保安問題,我們必須弄清楚。
另一宗黑客事件在前日發生,Solana 鏈上的穩定幣協議 Cashio 遭黑客進行無限鑄造攻擊,事件係由一個未經核實嘅帳戶,鑄 造20 億枚 CASH代幣,然後轉ust 和usdc, 不法獲利約 5,000 萬美元。事件發生後一小時內,cash代幣價格由1美元下跌99.99%至零。這也是穩定幣智能合約寫得不好的問題,跟solana 區塊鏈保安沒有關係。
但我想指出solana 本身的問題,不是技術方面,而是收取多間知名嘅VC風投基金、創投基金、知名人士的巨額投資,當中包括Andreessen Horowitz、polychain capital, multi coin capital, FTX 創辦人 Sam bankman Fried 頂力支持及查馬斯·帕利哈皮提亞 (Chamath Palihapitiya)的支持及投資,亦獲得拳王泰神做宣傳,因而獲得數以億計的投資金額,由於獲得大金額投資,盡快令投資者賺錢的壓力便很大,因而需要短時間推高幣價令投資者獲利的壓力亦隨之而來。
他們利用獲得的投資金額以銀彈政策派錢給developers 做DAPP, 在區塊鏈未運行成熟而擴大區塊鏈使用量,去年一年內幣價從數美元升至歷史高位250美元,之後投資者紛紛獲利,今年年頭幣價由高位回落六成,同時間,區塊鏈分析反影DAPP 的用戶下降,可能是developer獲得資金後,盡快推出DAPP 之後就沒有其他活動,另一方面,過快推出項目,可能令項目質素參差,智能合約錯漏百出。我認為就是solana 區塊鏈主要存在的問題,這其實在很多收取巨額投資的中心化公司常見的問題。
以太幣錢包MetaMask 創辦人Lubin 向英國《Financial Times》指出,Solana向鏈上驗證者所支付的巨額獎勵金比交易產生實際帶來的收入還要多,認為solana 欠持續性的商業模式。
Solana 經歷多次停機事件之後,現時活躍用戶主要是NFT 、遊戲之類,這發展其實合理,因為停機令developer失去信心,而跨鏈橋黑客事件亦令人對solana 上的去中心化金融出去信心,遊戲卻是另一回事,交易時間快及便宜反而更重要,保安考慮較少。所以我認為solana 未來發展方針可能轉至保安要求轉低的發展例如Metaverse, NFT 之類,這亦是不錯的路向。