Solana帝國,危機重重

語言: CN / TW / HK

出品|虎嗅科技組

作者|周舟

頭圖|視覺中國

Solana,這個“擁有”2500萬個熱錢包的加密巨頭,正陷入一場危機。

自從2022年8月3日Solana生態發生了大規模盜幣事件(數千名使用者的錢包被盜、幾百萬美元不翼而飛)之後,已超過一週。Solana、媒體、監管機構......各個相關機構似乎不再關心數千名被盜使用者的損失。8月13日,這次大規模盜幣事件的主角——Slope(Solana生態中的錢包)在推特上表示:推遲審計報表。

作為一家相對中心化的加密巨頭,Solana近兩年來風頭正盛,被人們譽為“以太坊殺手”,通過效率和網路拓展能力,不僅佈局公鏈、錢包、Defi、NFT等區塊鏈全賽道,還和蘋果一樣做線上商城、做手機、做體恤......Solana儼然將自己打造成一個像Binance、阿里巴巴、谷歌這樣的網際網路巨頭。

不過,繁華背後盡是隱憂。大規模使用者遭遇損失的事件並非孤例,今年2月,黑客利用Solana在跨鏈橋上的漏洞盜取了3.2億美元ETH。

而這些或許只是開始,一場危機悄然而至,Solana及其生態的安全性已經受到了人們的廣泛質疑,而新的競爭對手也紛至沓來。

據虎嗅不完全統計,Solana生態遇到了至少四五次較大規模的問題。除了8月13日,Solana生態錢包Slope一直沒找到(所有)錢包被盜的原因之外,最近的一次大事件是TVL造假。

TVL(鎖定的總價值)於區塊鏈公司的地位,有點像月活之於網際網路公司。不管是機構投資者、股民、還是生態合作伙伴都會密切關注這一指標。不過,Solana便在這一指標上,被嚴重造假,而其創始團隊竟然毫不知情。

8月5日,媒體報道,Solana上鎖定的總價值(TVL)被一位開發者偽造,以致在一段時間內被嚴重誇大。Solana生態最大的Defi專案Sabre,其首席架構師Ian Macalinao偽造了11個開發者身份,在Solana的TVL達到105億美元峰值時,Ian的專案佔了其70%以上。建立了一個龐大的連鎖DeFi協議網路,數十億美元的價值被重複計算。

以一己之力,便為Solana貢獻了超過70%以上的關鍵資料,而耐人尋味的是,這位開發者做完這一切之後,宣佈不再呆在Solana生態裡,轉去競爭對手Aptos那邊“工作”了。

實際上,隨著暴雷事件的增多,Solana生態裡可以被完全信任的機構或者產品,正在面臨人們普遍的質疑。

TVL,不可信;錢包,不可信;跨鏈橋,不可信;NFT平臺,不可信......生活於加密世界,就如身處黑暗森林,對於Solana來說,其廣闊的生態,成為了加密黑客們的樂土,而對於普通使用者而言,就如在黑暗森林中魯莽點起火把的小孩。

在錢包被盜事件中,Solana表示核心程式碼沒有問題,將自己置身事外。但是其錢包Slope、Phantom等錢包被攻擊的真實和所有的原因遲遲沒有找到。而Slope也在昨日將本該向公眾釋出的審計報告進行了無限期的推遲。

根據Dune Analyticts資料,被攻擊的Solana獨立錢包數量超9000個,使用者損失已超過600萬美元,而這個數字仍停留在8月5號之前,之後就再也沒有相關機構更新資料。Solana生態中的多個專案,比如StepN都曾向用戶警示目前的風險。雖然Solana生態中有多達2500萬個熱錢包,目前被攻擊的只是其使用者中的一小部分,這已然對於一家機構或者公司而言,是一件較大的危機事件,不過從目前的價格和市場的情緒來看,人們似乎認為這件事與Solana毫無關係,事件本身也被淡化處理。

對於Solana錢包被盜的分析,一開始Solana Labs執行長 Anatoly Yakovenko懷疑該漏洞可能與Apple iOS供應鏈問題有關,蘋果公司莫名“躺槍”,加密巨頭似乎喜歡把責任推給中心化巨頭。隨著更多資料的採集,源頭縮小到對Slope集中式伺服器的黑客攻擊。起初,Slope的一位代表向媒體表示:“我們不會在集中式伺服器上儲存任何個人資料。” 不過,它們很快便承認了該問題。

現在的問題關鍵或許是Solana的核心程式碼是否有問題,而這將對整個Solana的影響是巨大。

一個奇怪的事實是:Solana foundation提供的資料顯示近60%被盜使用者使用Phantom錢包,30%左右地址使用Slope錢包,其餘使用者使用Trust Wallet,並且iOS和Android版本的應用都有相應的受害者。顯然,這既不是Slope一家公司的問題,也不是iOS和Android背後所站立的蘋果公司和谷歌公司的問題。Solana又宣稱不是自己核心程式碼的問題。難道是使用者的問題?

關鍵是,如果找不到問題所在,2500萬個錢包還安全嗎?上百萬的Solana使用者和開發者,還能安心建設嗎?畢竟上一次大規模黑客攻擊事件,便發生在今年2月,黑客利用Solana端合約簽名驗證漏洞盜取了3.2億美元ETH。

此外,Solana生態中最大的NFT平臺——Magic Eden,也受到了業內人士的質疑。它的NFT交易量佔90%以上,如今估值16億美元。然而它管理使用者NFT託管的方式,過於集中,這使使用者的資產容易受到攻擊。託管所有上線的資產,而不是允許它們留在使用者自己的錢包中。“黑客可以獲得Magic Eden的金鑰,並捲走它們的每個NFT。”一位Solana相關人士表示。

雖然,黑客目前只攻擊了Solana的錢包和跨鏈橋,並且得手,但是這不意味著攻擊事件將停止。“Solana生態中的NFT平臺Magic Eden並不是去中心化的,人們的NFT資產儲存在託管錢包。”這無疑意味著黑客可以獲得Magic Eden的金鑰並像攻擊Solana錢包獲取加密貨幣一樣攻擊NFT平臺並獲得每個人的NFT。而似乎並不是所有使用者都知道自己的NFT在不同的平臺上的安全程度,實際上是不一樣的。

Solana錢包、Solana跨鏈橋、Solana Defi專案、Solana NFT平臺......Solana生態接連發生事故,這也讓其遭受了業內廣泛的質疑。這家Web3巨頭曾顯示出足夠的能成為下一個網際網路巨頭的潛力,但顯然,它背後存在的問題,也足夠多。