全方位还原一场社区主导「破获」的 DeFi 大劫案_FEI:COL

我们从跑路的StableMagnet项目方手里把钱夺了回来。

上周对DeFi世界来说是不太平的一周,PolyNetwork、去中心化年金协议PunkProtocol、BSC上借贷协议Neko、NEAR生态的去中心化交易所Ref.Finance等等项目先后遭到黑客攻击,损失的金额从数百万到数亿不等。其中部分攻击者返还了资金,仍有一些黑客至今逍遥法外。

或许正如从PolyNetwork盗取6亿美元资产的黑客所言,这个世界上没有完美的系统,只有我们还没有发现的漏洞。如果说去中心化的项目因为代码逻辑漏洞被黑客攻击还能算是发展道路上的阵痛,那么本身就是以侵吞资产为目的项目就是赤裸裸的犯罪了。

BSC上的稳定币DeFi项目——StableMagnet

故事的开始要从币安智能链上的一个DeFi项目StableMagnet说起。

今年上半年以太坊的性能瓶颈在DeFi大热的情况下引发流量外溢,而背靠币安的BSC凭借上佳的用户基础以及链上体验异军突起,在以太坊扩容网络尚未完备的阶段迅速抢占市场。不过BSC的火爆也吸引了大量投机项目方,他们部署了带有流动性挖矿奖励的DeFi项目吸引用户参与,也就是所谓「土狗」。这些「土狗」本也就没有打算长期运营,就是希望利用早期的高收益率吸引一些徒,将项目币价拉高后抛出手中预留给项目方的代币完成收割。

可以说,这类项目风险较高,你永远不知道项目方会在什么时候砸盘,更有甚者,有预谋地利用预留的漏洞偷走投资者的资产并从此销声匿迹。

链上ChainUP WaaS联盟为Datahighway(DHX)提供全方位托管服务:据官方消息,链上ChainUP WaaS联盟宣布与Datahighway(DHX)达成深度战略合作,为DHX提供全方位的WaaS联盟托管服务,包含主链技术开发维护、钱包资产托管、云节点服务等等,双方就区块链技术应用落地、区块链金融服务、资金安全等方面深度合作。

Datahighway(DHX)是波卡生态官方builder孵化的物联网项目,西湖Westlake主网于4月9日上线。Datahighway(DHX)已于4月13日今天上线BiKi。

链上ChainUP WaaS联盟作为数字资产托管及金融服务平台,是链上集团依托3年时间所服务的600多家企业客户技术服务经验,提供钱包资产托管、云节点服务、主链定制开发、热门币种一键接入、共管钱包、金融衍生品等多种功能服务,联盟内部企业转账 0手续费、实时转帐。目前已有超过500家企业加入链上ChainUP WaaS联盟。[2021/4/13 20:14:22]

而StableMagnet就是后者。

据本次项目的受害者描述,StableMagnet在BSCDaily等宣传渠道中均被提及,吸引了一部分BSC用户的注意,但并没有在普通社群引起很大的水花,在多数人看来这大概是无数普通「土狗」项目中的一个。不过社区中有代码审查能力的成员在检查了该项目的代码后得出了一个结论:这个项目的代码没有明显的漏洞,或者至少说即使项目方存在主观恶意也无法顺利从合约中转走资产。

动态 | 中国联通结合区块链等技术实现全方位智慧工地管理:在复工复产大潮中,中国联通正发挥独特的创新技术优势,利用5G、大数据、云网融合、云计算等新技术,结合数据一点集中优势,推动重大项目复工复产。其中,中国联通与中国建筑集团打造的位于亦庄经济技术开发区的“5G智慧工地”项目。“5G智慧工地”项目实现了多项突破:运用“一通多能四驱动”架构,采用定制化5G网络,围绕人、机、料、法、环、测等施工管理,实行5G实名制双防监管系统、5G双360度空间立体实时监控系统、5G智慧信息岛、多维安全监控系、5G作业面监管系统统、5G+智慧图纸技术等大量功能,同时结合了人工智能、区块链、云计算加边缘计算、大数据等技术,开启多项创新应用,实现全方位智慧工地管理。(新华网)[2020/2/19]

由于认为其代码安全并且APY颇高,在小范围科学家群体中,这个项目流传开来。为进一步保障项目安全,项目方甚至主动设置了合约时间锁。看到项目方采取了进一步的安全措施,审查过合约的专业用户们更有自信地进行了更大金额的投入,导致这个名不见经传的项目的TVL在短短几天的时间里就从几百万美元上升至2400万美元。但大家不知道的是,这个项目看似「没有问题」的外表下,正酝酿着阴谋。

最大的危险潜藏在最隐蔽的角落

虽然项目的代码逻辑没有漏洞,但此次问题并不是出在项目本身的智能合约中,而在智能合约调用的底层函数库。项目方在底层函数库SwapUtilsLibrary中植入后门,因此不论项目本身的智能合约代码是否安全、是否有时间锁,项目方都可以直接利用底层函数的后门转移资产。由于Dopple和StableGaj两个DeFi项目也基于相同的协议开发,他们底层函数库SwapUtilsLibrary同样未经验证,StableMagnet事件也暴露了这两个项目的安全风险。

动态 | 中传与中国平安签署协议 依赖区块链等技术全方位合作:12月12日,中国传媒大学与中国平安签署协议,平安集团将通过“智慧校园”“平安好医生”“ 金融一账通”等平台,以人工智能、区块链、大数据、云计算等技术为支撑,构建与中国传媒大学的全方位合作。[2019/12/13]

RugDoc针对StableMagnet事件所作的漫画

过去的黑客攻击事件大都是利用了项目本身的智能合约逻辑漏洞,这导致反而容易忽视对底层函数库的查验。而未经验证的底层函数库是可以被动手脚的。项目方正是利用了这一点。

北京时间6月23日的凌晨,本次事件正式拉开帷幕。

在东八区的大多数投资者还在熟睡之际,项目方通过事先预留的漏洞转移出了价值2400万美元的资产,项目网站、推特、电报群全部关闭或解散。项目方甚至直接将盗取的部分BUSD以及USDT转入币安交易所并换成DAI之后转出。

项目方实施行动后10多分钟,Ogle等社区成员已经发现了异常,开始追踪攻击地址,也在被盗资产转移入币安交易所后在第一时间进行了举报,但币安并未即时采取行动。项目方最后还是成功将DAI从交易所中转出。

值得一提的是,部分知名社区成员以及DeFi安全媒体曾在攻击前收到匿名信息,称SMAG项目可能跑路,但由于无法确认警告者的身份与信息真实性,加之项目核心的智能合约本身并没有问题,出于谨慎考虑,收到警告的人并未第一时间在社区中公开这一信息。

本体推出全方位生态加速器OOA:本体官方今日宣布推出本体Olympus加速器(OOA)。基于Olympus加速器,本体将为创业企业和团队提供完整的技术、市场、资金、人才和法律合规支持。Ontology Foundation也将投入当前估值总额约15亿美元等值的通证,用于支持入选的杰出创业企业和团队未来的发展。从2018年7月起,本体将在官网公布Olympus加速器细则并开放在线申请。根据不同的加速孵化类型,会有不同的申请条件。 此外,本体还宣布成立“本体行业专家顾问团队 (OAG)”和“本体全球基金 (OGC)”。[2018/6/4]

社区的反击

通常在项目被攻击之后,项目方会联合投资方共同出力查找黑客或者对损失进行赔偿。但StableMagnet的问题是项目方监守自盗。为了自救,社区成员决定尽一切可能搜索并定位项目方。于是,一场浩浩荡荡的打击犯罪的行动开始了。

定位项目方

想要追回资产首先要找到人。据社区成员透露,负责通过技术手段搜查项目方踪迹的核心工作主要由一位DeFi领域的KOL?Ogle以及其团队完成,而此人也是该事件的受害者之一。

在交流过程中,Ogle分享了他们获取线索的一种特殊的方式——代码习惯。社区成员表示,每个写代码的人都不可避免地有个人习惯,而这些习惯会在代码的书写方式中体现地非常明显,这种痕迹堪比一个人的「字迹」。Ogle正是在Github上通过StableMagnet代码中某些特征找到了关联项目,并通过分析这些关联项目最终确定了项目方是香港的一个团队。调查组综合其他线索,继而发现项目成员注册的公司,并通过与公司关联的公开信息成功寻找到了其他相关成员。

安永与Coinbase达成长期深入合作,前者为后者IPO提供全方位辅导:据悉,全球四大会计师事务所之一的安永于近期与全球知名的数字货币交易所和钱包服务提供商Coinbase达成长期深入合作,安永将组建包括审计部门、咨询部门、并购部门和税务部门的跨条线的Fintech专家团队为Coinbase提供第三方鉴证审计,同时为Coinbase的IPO提供全方位的辅导。[2018/3/27]

与此同时,币安的调查线索也指向了项目方可能在香港。获知此消息,香港受害者很快向香港报案。与此同时,社区调查组织也排查获取到了项目方成员的联系方式,并试图进行沟通。但团队成员无视所有的联络,拒绝沟通与还款。

此时,社区中出现希望直接曝光项目方身份的声音。除了核心社区调查组掌握他们的个人信息,社区中也有声称「拥有权限」的独立匿名组织表示已掌握他们的个人信息,他们希望直接公布个人信息,但被Ogle劝阻。

此后,核心社区调查组无数次公开呼吁项目方与Ogle取得联系,一方面是推动尽快退款,另外一方面是避免他们的个人信息被失去耐心的独立匿名人士/组织暴露造成不可控的后果。但项目方成员并未接纳这一「善意」。

错失最佳时机,项目方潜逃

虽然香港已立案,但或许是因为程序问题,香港并未采信社区提供的种种证据。由于项目方在币安交易所留有痕迹,香港方面希望币安提供相关证据。但由于一些原因,香港与币安的沟通陷入停滞。而社区成员没有执法权,即使他们已经确定项目方身份,也无法控制他们,于是只能等待能够推进案件的调查。案件一时间陷入了僵局。

不过或许是团队成员感受到了压力,也了解到社区已经大致定位了他们的身份与位置,于是在案件停滞不前的阶段,仓促逃往了英国。但是等待这些团队嫌疑人的并不是由于时间的推移而案件平息的剧本,而是一场新的「围剿」。

抓捕归案

在大家为香港的进展着急时,社区调查组发现了项目方团队成员逃往英国的最新行踪。这也成为了事件的转机。在社区成员的举报下,英国很快立案,并且由重案组专门跟进,而英国根据社区提交的信息,启动了对逃往英国的项目方成员的调查。事情发展到这一步,项目方团队成员窝藏在英国何处,成为了社区调查组与英国面对的新问题。

根据英国的防疫政策,所有前往英国的旅客都被要求进行10天的自我隔离与申报。如果潜逃的项目方成员按规定自我隔离,理论上是可以搜集到足够线索追查到他们的确切地址。而坏消息是,截至调查成员与英国截获这个线索时,团队成员的隔离期很可能即将结束。

Ogle以及社区调查组对团队成员可能居留的地址进行了推测分析,并进行了地毯式搜索。最终获得情报的英国顺利抓获了项目方成员。被捕获的项目方成员随身携带了大量可疑的加密电子设备,这些设备中存储的就是投资者被盗的资产。在英国的努力下,被捕的项目方成员最终选择了配合调查,并同意将携带的赃款退回。

至此,这一长达月余,涉及多个国家或地区,涉案金额高达2400万美元的DeFi案总算取得了重大进展。

挑衅与还击

但事情并未完全结束。被捕的成员退还的资产总计约2250万美元,但声称有部分资产遗失了。此外,目前仍有部分成员行踪不明。更蹊跷的是就在被捕的成员打算退款的时候,有部分价值几十万美元的资产被转移。最终接收到的资产,正好有同等数量的资产缺失。社区怀疑是在逃的项目方成员所为,如果事实如此,这无异于是对社区与的挑衅。

在挑衅下,失去耐心的独立匿名组织终于忍无可忍,选择直接公开曝光了他们的身份,并声称若在逃项目方人士持续拒绝沟通,将公布他们更多个人信息。而以Ogle为首的核心调查组也一直在努力取得与项目方联系,以追回全部资产并安抚社区。

嫌疑人照片

退还赃款

退款是所有受害者最关心的问题。英国成功找回了91%的被盗资产,所有资产将被退还给全球受害者。值得一提的是,由于部分地区的用户并不方便接受法币退款,在社区成员的努力与建言下,英国采用了链上退款,而并非法币退款。

英国发布的新闻

受害者需要通过小额打款验证钱包的所属权,并且提交一些当地的立案信息以及KYC/AML信息,经过验证后即可进行退款。虽然对于国内的受害者而言这样的方案仍有一定执行难度,但这已经为受波及的投资者提供了尽可能大的便利,而对于仍未追回的10%资金,目前社区仍然在努力与英国和国际进行追查,争取全部资产归还受害者,以及全力追踪在逃项目方成员。

英国给社区成员的邮件

截至目前,英国也留意到中国地区的受害者连报案立案都很困难,他们也在考虑进一步优化对中国地区受害者的退款流程。

后续

在采访社区成员并了解了整个案件的经过后可以发现,StableMagnet案件之所以能够顺利告破,得益于社区成员的努力以及与的通力合作。这或许也可以成为一个良好的开端,并为未来类似的事件提供一个典型的案例参考。

在采访的最后,当被问到未来如何避免此类事件的发生时,Ogle表示,在CeDeFi领域,未来或许可以对合约的部署添加KYC要求,并且由一个DAO或一个组织治理。当然很多人会认为这不够去中心化,许多加密爱好者对此亦不感兴趣,但这个方式可能会受传统金融的参与者欢迎,并且吸引他们入场。这无关对错,只是看如何取舍。如果在完全去中心化的世界,为了避免遭遇此类事件,建议参与者不要盲目冲头矿,可以等待3-6周再行参与,虽然拿不到初期的超额收益,但也避免了一定风险。

此外还建议投资者在项目的选择上尽量选择安全性更强的项目,例如实名的团队、在代码可验证的、Launchpad上发行的、以及经过可靠的安全公司审计的项目等。

最后,Ogle表示,作恶皆有其后果,他会让作恶者付出代价。这也是社区调查组致力于彻底追查本次事件的初心,即把本次事件当做一次示范,来警示所有企图利用区块链匿名性去作恶的人:「即便你躲在电脑屏幕后面,也会在现实世界为自己的行为承担后果」。

撰文:Eric

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:0ms0-7:35ms