Solana帝国，危机重重

出品｜虎嗅科技组
作者｜周舟
头图｜视觉中国
Solana，这个“拥有”2500万个热钱包的区块链巨头，正陷入一场危机。
自从2022年8月3日Solana生态发生了大规模盗币事件（数千名用户的钱包被盗、几百万美元不翼而飞）之后，已超过一周。Solana、媒体、监管机构......各个相关机构再也没有新的消息传出，似乎不再关心数千名被盗用户的损失。8月13日，这次大规模盗币事件被推上舞台中央的主角——Slope（Solana生态中的钱包）在推特上表示：推迟审计报表。
10天，一次针对区块链巨头的攻击，发生了，没人（除了用户）为此负责，结束了。
作为一家相对中心化的加密巨头，Solana近两年来风头正盛，被人们誉为“以太坊杀手”，通过效率和网络拓展能力，不仅布局公链、钱包、Defi、NFT等区块链全赛道，还和苹果一样做线上商城、做手机、做体恤......Solana俨然将自己打造成一个像Binance、阿里巴巴、谷歌这样的互联网巨头。

不过，繁华背后尽是隐忧。大规模用户遭遇损失的事件并非孤例，今年2月，黑客利用Solana在跨链桥上的漏洞盗取了3.2亿美元ETH。
而这些或许只是开始，一场危机悄然而至，Solana及其生态的安全性已经受到了人们的广泛质疑，而新的竞争对手也纷至沓来。
据虎嗅不完全统计，Solana生态遇到了至少四五次较大规模的问题。除了8月13日，Solana生态钱包Slope一直没找到（所有）钱包被盗的原因之外，最近的一次大事件是TVL造假。
TVL（锁定的总价值）于区块链公司的地位，有点像月活之于互联网公司。不管是机构投资者、股民、还是生态合作伙伴都会密切关注这一指标。不过，Solana便在这一指标上，被严重造假，而其创始团队竟然毫不知情。
8月5日，媒体报道，Solana上锁定的总价值（TVL）被一位开发者伪造，以致在一段时间内被严重夸大。Solana生态最大的Defi项目Sabre，其首席架构师Ian Macalinao伪造了11个开发者身份，在Solana的TVL达到105亿美元峰值时，Ian的项目占了其70%以上。创建了一个庞大的连锁DeFi协议网络，数十亿美元的价值被重复计算。
以一己之力，便为Solana贡献了超过70%以上的关键数据，而耐人寻味的是，这位开发者做完这一切之后，宣布不再呆在Solana生态里，转去竞争对手Aptos那边“工作”了。
实际上，随着暴雷事件的增多，Solana生态里可以被完全信任的机构或者产品，正在面临人们普遍的质疑。

TVL，不可信；钱包，不可信；跨链桥，不可信；NFT平台，不可信......生活于加密世界，就如身处黑暗森林，对于Solana来说，其广阔的生态，成为了加密黑客们的乐土，而对于普通用户而言，就如在黑暗森林中鲁莽点起火把的小孩。
在钱包被盗事件中，Solana表示核心代码没有问题，将自己置身事外。但是其钱包Slope、Phantom等钱包被攻击的真实和所有的原因迟迟没有找到。而Slope也在昨日将本该向公众发布的审计报告进行了无限期的推迟。
根据Dune Analyticts数据，被攻击的Solana独立钱包数量超9000个，用户损失已超过600万美元，而这个数字仍停留在8月5号之前，之后就再也没有相关机构更新数据。Solana生态中的多个项目，比如StepN都曾向用户警示目前的风险。虽然Solana生态中有多达2500万个热钱包，目前被攻击的只是其用户中的一小部分，这已然对于一家机构或者公司而言，是一件较大的危机事件，不过从目前的价格和市场的情绪来看，人们似乎认为这件事与Solana毫无关系，事件本身也被淡化处理。
对于Solana钱包被盗的分析，一开始Solana Labs首席执行官 Anatoly Yakovenko怀疑该漏洞可能与Apple iOS供应链问题有关，苹果公司莫名“躺枪”，加密巨头似乎喜欢把责任推给中心化巨头。随着更多数据的采集，源头缩小到对Slope集中式服务器的黑客攻击。起初，Slope的一位代表向媒体表示：“我们不会在集中式服务器上存储任何个人数据。” 不过，它们很快便承认了该问题。
现在的问题关键或许是Solana的核心代码是否有问题，而这将对整个Solana的影响是巨大。
一个奇怪的事实是：Solana foundation提供的数据显示近60%被盗用户使用Phantom钱包，30%左右地址使用Slope钱包，其余用户使用Trust Wallet，并且iOS和Android版本的应用都有相应的受害者。显然，这既不是Slope一家公司的问题，也不是iOS和Android背后所站立的苹果公司和谷歌公司的问题。Solana又宣称不是自己核心代码的问题。难道是用户的问题？
关键是，如果找不到问题所在，2500万个钱包还安全吗？上百万的Solana用户和开发者，还能安心建设吗？毕竟上一次大规模黑客攻击事件，便发生在今年2月，黑客利用Solana端合约签名验证漏洞盗取了3.2亿美元ETH。
此外，Solana生态中最大的NFT平台——Magic Eden，也受到了业内人士的质疑。它的NFT交易量占90%以上，如今估值16亿美元。然而它管理用户NFT托管的方式，过于集中，这使用户的资产容易受到攻击。托管所有上线的资产，而不是允许它们留在用户自己的钱包中。“黑客可以获得Magic Eden的密钥，并卷走它们的每个NFT。”一位Solana相关人士表示。
虽然，黑客目前只攻击了Solana的钱包和跨链桥，并且得手，但是这不意味着攻击事件将停止。“Solana生态中的NFT平台Magic Eden并不是去中心化的，人们的NFT资产保存在托管钱包。”这无疑意味着黑客可以获得Magic Eden的密钥并像攻击Solana钱包获取加密货币一样攻击NFT平台并获得每个人的NFT。而似乎并不是所有用户都知道自己的NFT在不同的平台上的安全程度，实际上是不一样的。
Solana钱包、Solana跨链桥、Solana Defi项目、Solana NFT平台......Solana生态接连发生事故，这也让其遭受了业内广泛的质疑。这家Web3巨头曾显示出足够的能成为下一个互联网巨头的潜力，但显然，它背后存在的问题，也足够多。

---