撰文:Eric

上周对 DeFi 世界来说是不太平的一周,Poly Network、去中心化年金协议 Punk Protocol、BSC 上借贷协议 Neko、NEAR 生态的去中心化交易所 Ref.Finance等等项目先后遭到黑客攻击,损失的金额从数百万到数亿不等。其中部分攻击者返还了资金,仍有一些黑客至今逍遥法外。

或许正如从 Poly Network 盗取6 亿美元资产的黑客所言,这个世界上没有完美的系统,只有我们还没有发现的漏洞。如果说去中心化的项目因为代码逻辑漏洞被黑客攻击还能算是发展道路上的阵痛,那么本身就是以侵吞资产为目的项目就是赤裸裸的犯罪了。

BSC 上的稳定币 DeFi 项目 —— StableMagnet故事的开始要从币安智能链(BSC)上的一个 DeFi 项目 StableMagnet 说起。

今年上半年以太坊的性能瓶颈在 DeFi 大热的情况下引发流量外溢,而背靠币安的 BSC 凭借上佳的用户基础以及链上体验异军突起,在以太坊扩容网络尚未完备的阶段迅速抢占市场。不过 BSC 的火爆也吸引了大量投机项目方,他们部署了带有流动性挖矿奖励的 DeFi 项目吸引用户参与,也就是所谓「土狗」。这些「土狗」本也就没有打算长期运营,就是希望利用早期的高收益率吸引一些赌徒,将项目币价拉高后抛出手中预留给项目方的代币完成收割。

可以说,这类项目风险较高,你永远不知道项目方会在什么时候砸盘,更有甚者,有预谋地利用预留的漏洞偷走投资者的资产并从此销声匿迹。

而 StableMagnet 就是后者。

据本次项目的受害者描述,StableMagnet 在 BSC Daily 等宣传渠道中均被提及,吸引了一部分 BSC 用户的注意,但并没有在普通社群引起很大的水花,在多数人看来这大概是无数普通「土狗」项目中的一个。不过社区中有代码审查能力的成员在检查了该项目的代码后得出了一个结论:

这个项目的代码没有明显的漏洞,或者至少说即使项目方存在主观恶意也无法顺利从合约中转走资产。

由于认为其代码安全并且 APY 颇高,在小范围科学家群体中,这个项目流传开来。为进一步保障项目安全,项目方甚至主动设置了合约时间锁。看到项目方采取了进一步的安全措施,审查过合约的专业用户们更有自信地进行了更大金额的投入,导致这个名不见经传的项目的TVL 在短短几天的时间里就从几百万美元上升至 2400 万美元。

但大家不知道的是,这个项目看似「没有问题」的外表下,正酝酿着阴谋。

最大的危险潜藏在最隐蔽的角落虽然项目的代码逻辑没有漏洞,但此次问题并不是出在项目本身的智能合约中,而在智能合约调用的底层函数库。项目方在底层函数库 SwapUtils Library中植入后门,因此不论项目本身的智能合约代码是否安全、是否有时间锁,项目方都可以直接利用底层函数的后门转移资产。由于Dopple和StableGaj两个 DeFi 项目也基于相同的协议开发,他们底层函数库 SwapUtils Library 同样未经验证,StableMagnet 事件也暴露了这两个项目的安全风险。

RugDoc 针对 StableMagnet 事件所作的漫画

过去的黑客攻击事件大都是利用了项目本身的智能合约逻辑漏洞,这导致反而容易忽视对底层函数库的查验。而未经验证的底层函数库是可以被动手脚的。项目方正是利用了这一点。

北京时间6 月 23 日的凌晨,本次事件正式拉开帷幕。

在东八区的大多数投资者还在熟睡之际,项目方通过事先预留的漏洞转移出了价值2400 万美元的资产,项目网站、推特、电报群全部关闭或解散。项目方甚至直接将盗取的部分 BUSD 以及 USDT 转入币安交易所并换成 DAI 之后转出。

项目方实施行动后 10 多分钟,Ogle 等社区成员已经发现了异常,开始追踪攻击地址,也在被盗资产转移入币安交易所后在第一时间进行了举报,但币安并未即时采取行动。项目方最后还是成功将 DAI 从交易所中转出。

值得一提的是,部分知名社区成员以及 DeFi 安全媒体曾在攻击前收到匿名信息,称SMAG(StableMagnet)项目可能跑路,但由于无法确认警告者的身份与信息真实性,加之项目核心的智能合约本身并没有问题,出于谨慎考虑,收到警告的人并未第一时间在社区中公开这一信息。

社区的反击

通常在项目被攻击之后,项目方会联合投资方共同出力查找黑客或者对损失进行赔偿。但 StableMagnet 的问题是项目方监守自盗。为了自救,社区成员决定尽一切可能搜索并定位项目方。于是,一场浩浩荡荡的打击犯罪的行动开始了。

定位项目方

想要追回资产首先要找到人。据社区成员透露,负责通过技术手段搜查项目方踪迹的核心工作主要由一位DeFi 领域的 KOL Ogle 以及其团队完成,而此人也是该事件的受害者之一。

在交流过程中,Ogle 分享了他们获取线索的一种特殊的方式——代码习惯。社区成员表示,每个写代码的人都不可避免地有个人习惯,而这些习惯会在代码的书写方式中体现地非常明显,这种痕迹堪比一个人的「字迹」。Ogle 正是在 Github 上通过 StableMagnet 代码中某些特征找到了关联项目,并通过分析这些关联项目最终确定了项目方是香港的一个团队。调查组综合其他线索,继而发现项目成员注册的公司,并通过与公司关联的公开信息成功寻找到了其他相关成员。

与此同时,币安的调查线索也指向了项目方可能在香港。获知此消息,香港受害者很快向香港警方报案。与此同时,社区调查组织也排查获取到了项目方成员的联系方式,并试图进行沟通。但团队成员无视所有的联络,拒绝沟通与还款。

此时,社区中出现希望直接曝光项目方身份的声音。除了核心社区调查组掌握他们的个人信息,社区中也有声称「拥有权限」的独立匿名组织表示已掌握他们的个人信息,他们希望直接公布个人信息,但被 Ogle 劝阻。

此后,核心社区调查组无数次公开呼吁项目方与 Ogle 取得联系,一方面是推动尽快退款,另外一方面是避免他们的个人信息被失去耐心的独立匿名人士 / 组织暴露造成不可控的后果。但项目方成员并未接纳这一「善意」。

错失最佳时机,项目方潜逃

虽然香港警方已立案,但或许是因为程序问题,香港警方并未采信社区提供的种种证据。由于项目方在币安交易所留有痕迹,香港方面希望币安提供相关证据。但由于一些原因,香港警方与币安的沟通陷入停滞。而社区成员没有执法权,即使他们已经确定项目方身份,也无法控制他们,于是只能等待警方能够推进案件的调查。案件一时间陷入了僵局。

不过或许是团队成员感受到了压力,也了解到社区已经大致定位了他们的身份与位置,于是在案件停滞不前的阶段,仓促逃往了英国。但是等待这些团队嫌疑人的并不是由于时间的推移而案件平息的剧本,而是一场新的「围剿」。

抓捕归案

在大家为香港的进展着急时,社区调查组发现了项目方团队成员逃往英国的最新行踪。这也成为了事件的转机。在社区成员的举报下,英国警方很快立案,并且由重案组专门跟进,而英国警方根据社区提交的信息,启动了对逃往英国的项目方成员的调查。事情发展到这一步,项目方团队成员窝藏在英国何处,成为了社区调查组与英国警方面对的新问题。

根据英国的防疫政策,所有前往英国的旅客都被要求进行 10 天的自我隔离与申报。如果潜逃的项目方成员按规定自我隔离,理论上是可以搜集到足够线索追查到他们的确切地址。而坏消息是,截至调查成员与英国警方截获这个线索时,团队成员的隔离期很可能即将结束。

Ogle 以及社区调查组对团队成员可能居留的地址进行了推测分析,并进行了地毯式搜索。最终获得情报的英国警方顺利抓获了项目方成员。被捕获的项目方成员随身携带了大量可疑的加密电子设备,这些设备中存储的就是投资者被盗的资产。在英国警方的努力下,被捕的项目方成员最终选择了配合调查,并同意将携带的赃款退回。

至此,这一长达月余,涉及多个国家或地区,涉案金额高达2400 万美元的 DeFi 诈骗案总算取得了重大进展。

挑衅与还击

但事情并未完全结束。被捕的成员退还的资产总计约 2250 万美元,但声称有部分资产遗失了。此外,目前仍有部分成员行踪不明。更蹊跷的是就在被捕的成员打算退款的时候,有部分价值几十万美元的资产被转移。警方最终接收到的资产,正好有同等数量的资产缺失。社区怀疑是在逃的项目方成员所为,如果事实如此,这无异于是对社区与警方的挑衅。

在挑衅下,失去耐心的独立匿名组织终于忍无可忍,选择直接公开曝光了他们的身份,并声称若在逃项目方人士持续拒绝沟通,将公布他们更多个人信息。而以 Ogle 为首的核心调查组也一直在努力取得与项目方联系,以追回全部资产并安抚社区。

退还赃款退款是所有受害者最关心的问题。英国警方成功找回了91%的被盗资产,所有资产将被退还给全球受害者。值得一提的是,由于部分地区的用户并不方便接受法币退款,在社区成员的努力与建言下,英国警方采用了链上退款,而并非法币退款。

英国警方发布的新闻

受害者需要通过小额打款验证钱包的所属权,并且提交一些当地的立案信息以及 KYC/AML 信息,经过验证后即可进行退款。虽然对于国内的受害者而言这样的方案仍有一定执行难度,但这已经为受波及的投资者提供了尽可能大的便利,而对于仍未追回的 10% 资金,目前社区仍然在努力与英国和国际警方进行追查,争取全部资产归还受害者,以及全力追踪在逃项目方成员。

英国警方给社区成员的邮件

截至目前,英国警方也留意到中国地区的受害者连报案立案都很困难,他们也在考虑进一步优化对中国地区受害者的退款流程。

后续

在采访社区成员并了解了整个案件的经过后可以发现,StableMagnet 案件之所以能够顺利告破,得益于社区成员的努力以及与警方的通力合作。这或许也可以成为一个良好的开端,并为未来类似的事件提供一个典型的案例参考。

在采访的最后,当被问到未来如何避免此类事件的发生时,Ogle 表示,在CeDeFi 领域,未来或许可以对合约的部署添加 KYC 要求,并且由一个 DAO 或一个组织治理。当然很多人会认为这不够去中心化,许多加密爱好者对此亦不感兴趣,但这个方式可能会受传统金融的参与者欢迎,并且吸引他们入场。这无关对错,只是看如何取舍。如果在完全去中心化的世界,为了避免遭遇此类事件,建议参与者不要盲目冲头矿,可以等待 3-6 周再行参与,虽然拿不到初期的超额收益,但也避免了一定风险。

此外还建议投资者在项目的选择上尽量选择安全性更强的项目,例如实名的团队、在代码可验证的、Launchpad 上(例如 SAFERmoon)发行的、以及经过可靠的安全公司审计的项目等。

最后,Ogle 表示,作恶皆有其后果,他会让作恶者付出代价。这也是社区调查组致力于彻底追查本次事件的初心,即把本次事件当做一次示范,来警示所有企图利用区块链匿名性去作恶的人:

「即便你躲在电脑屏幕后面,也会在现实世界为自己的行为承担后果」。

注:如果你是 StableMagnet 事件的受害者,可以加入电报群 @StableMagnet 或联系 Ogle (推特 : @Cryptolge) 获取退款的相关信息及进展。