我們從跑路的 StableMagnet 專案方手裡把錢奪了回來。
撰文:Eric
上週對 DeFi 世界來說是不太平的一週,Poly Network、去中心化年金協議 Punk Protocol、BSC 上借貸協議 Neko、NEAR 生態的去中心化交易所 Ref.Finance 等等專案先後遭到駭客攻擊,損失的金額從數百萬到數億不等。其中部分攻擊者返還了資金,仍有一些駭客至今逍遙法外。
或許正如從 Poly Network 盜取6 億美元資產的駭客所言,這個世界上沒有完美的系統,只有我們還沒有發現的漏洞。如果說去中心化的專案因為程式碼邏輯漏洞被駭客攻擊還能算是發展道路上的陣痛,那麼本身就是以侵吞資產為目的專案就是赤裸裸的犯罪了。
BSC 上的穩定幣 DeFi 專案 —— StableMagnet
故事的開始要從幣安智慧鏈(BSC)上的一個 DeFi 專案 StableMagnet 說起。
今年上半年以太坊的效能瓶頸在 DeFi 大熱的情況下引發流量外溢,而背靠幣安的 BSC 憑藉上佳的使用者基礎以及鏈上體驗異軍突起,在以太坊擴容網路尚未完備的階段迅速搶佔市場。不過 BSC 的火爆也吸引了大量投機專案方,他們部署了帶有流動性挖礦獎勵的 DeFi 專案吸引使用者參與,也就是所謂「土狗」。這些「土狗」本也就沒有打算長期運營,就是希望利用早期的高收益率吸引一些賭徒,將專案幣價拉高後丟擲手中預留給專案方的代幣完成收割。
可以說,這類專案風險較高,你永遠不知道專案方會在什麼時候砸盤,更有甚者,有預謀地利用預留的漏洞偷走投資者的資產並從此銷聲匿跡。
而 StableMagnet 就是後者。
據本次專案的受害者描述,StableMagnet 在 BSC Daily 等宣傳渠道中均被提及,吸引了一部分 BSC 使用者的注意,但並沒有在普通社群引起很大的水花,在多數人看來這大概是無數普通「土狗」專案中的一個。不過社羣中有程式碼審查能力的成員在檢查了該專案的程式碼後得出了一個結論:這個專案的程式碼沒有明顯的漏洞,或者至少說即使專案方存在主觀惡意也無法順利從合約中轉走資產。
由於認為其程式碼安全並且 APY 頗高,在小範圍科學家群體中,這個專案流傳開來。為進一步保障專案安全,專案方甚至主動設定了合約時間鎖。看到專案方採取了進一步的安全措施,審查過合約的專業使用者們更有自信地進行了更大金額的投入,導致這個名不見經傳的專案的 TVL 在短短几天的時間裡就從幾百萬美元上升至 2400 萬美元。但大家不知道的是,這個專案看似「沒有問題」的外表下,正醞釀著陰謀。
最大的危險潛藏在最隱蔽的角落
雖然專案的程式碼邏輯沒有漏洞,但此次問題並不是出在專案本身的智慧合約中,而在智慧合約呼叫的底層函式庫。專案方在底層函式庫 SwapUtils Library 中植入後門,因此不論專案本身的智慧合約程式碼是否安全、是否有時間鎖,專案方都可以直接利用底層函式的後門轉移資產。由於 Dopple 和 StableGaj 兩個 DeFi 專案也基於相同的協議開發,他們底層函式庫 SwapUtils Library 同樣未經驗證,StableMagnet 事件也暴露了這兩個專案的安全風險。
RugDoc 針對 StableMagnet 事件所作的漫畫
過去的駭客攻擊事件大都是利用了專案本身的智慧合約邏輯漏洞,這導致反而容易忽視對底層函式庫的查驗。而未經驗證的底層函式庫是可以被動手腳的。專案方正是利用了這一點。
北京時間 6 月 23 日的凌晨,本次事件正式拉開帷幕。
在東八區的大多數投資者還在熟睡之際,專案方透過事先預留的漏洞轉移出了價值 2400 萬美元的資產,專案網站、推特、電報群全部關閉或解散。專案方甚至直接將盜取的部分 BUSD 以及 USDT 轉入幣安交易所並換成 DAI 之後轉出。
專案方實施行動後 10 多分鐘,Ogle 等社羣成員已經發現了異常,開始追蹤攻擊地址,也在被盜資產轉移入幣安交易所後在第一時間進行了舉報,但幣安並未即時採取行動。專案方最後還是成功將 DAI 從交易所中轉出。
值得一提的是,部分知名社羣成員以及 DeFi 安全媒體曾在攻擊前收到匿名資訊,稱 SMAG(StableMagnet)專案可能跑路,但由於無法確認警告者的身份與資訊真實性,加之專案核心的智慧合約本身並沒有問題,出於謹慎考慮,收到警告的人並未第一時間在社羣中公開這一資訊。
社羣的反擊
通常在專案被攻擊之後,專案方會聯合投資方共同出力查詢駭客或者對損失進行賠償。但 StableMagnet 的問題是專案方監守自盜。為了自救,社羣成員決定盡一切可能搜尋並定位專案方。於是,一場浩浩蕩蕩的打擊犯罪的行動開始了。
定位專案方
想要追回資產首先要找到人。據社羣成員透露,負責透過技術手段搜查專案方蹤跡的核心工作主要由一位 DeFi 領域的 KOLOgle 以及其團隊完成,而此人也是該事件的受害者之一。
在交流過程中,Ogle 分享了他們獲取線索的一種特殊的方式——程式碼習慣。社羣成員表示,每個寫程式碼的人都不可避免地有個人習慣,而這些習慣會在程式碼的書寫方式中體現地非常明顯,這種痕跡堪比一個人的「字跡」。Ogle 正是在 Github 上透過 StableMagnet 程式碼中某些特徵找到了關聯專案,並透過分析這些關聯專案最終確定了專案方是香港的一個團隊。調查組綜合其他線索,繼而發現專案成員註冊的公司,並透過與公司關聯的公開資訊成功尋找到了其他相關成員。
與此同時,幣安的調查線索也指向了專案方可能在香港。獲知此訊息,香港受害者很快向香港警方報案。與此同時,社羣調查組織也排查獲取到了專案方成員的聯絡方式,並試圖進行溝通。但團隊成員無視所有的聯絡,拒絕溝通與還款。
此時,社羣中出現希望直接曝光專案方身份的聲音。除了核心社羣調查組掌握他們的個人資訊,社羣中也有聲稱「擁有許可權」的獨立匿名組織表示已掌握他們的個人資訊,他們希望直接公佈個人資訊,但被 Ogle 勸阻。
此後,核心社羣調查組無數次公開呼籲專案方與 Ogle 取得聯絡,一方面是推動儘快退款,另外一方面是避免他們的個人資訊被失去耐心的獨立匿名人士 / 組織暴露造成不可控的後果。但專案方成員並未接納這一「善意」。
錯失最佳時機,專案方潛逃
雖然香港警方已立案,但或許是因為程式問題,香港警方並未採信社羣提供的種種證據。由於專案方在幣安交易所留有痕跡,香港方面希望幣安提供相關證據。但由於一些原因,香港警方與幣安的溝通陷入停滯。而社羣成員沒有執法權,即使他們已經確定專案方身份,也無法控制他們,於是只能等待警方能夠推進案件的調查。案件一時間陷入了僵局。
不過或許是團隊成員感受到了壓力,也瞭解到社羣已經大致定位了他們的身份與位置,於是在案件停滯不前的階段,倉促逃往了英國。但是等待這些團隊嫌疑人的並不是由於時間的推移而案件平息的劇本,而是一場新的「圍剿」。
抓捕歸案
在大家為香港的進展著急時,社羣調查組發現了專案方團隊成員逃往英國的最新行蹤。這也成為了事件的轉機。在社羣成員的舉報下,英國警方很快立案,並且由重案組專門跟進,而英國警方根據社羣提交的資訊,啟動了對逃往英國的專案方成員的調查。事情發展到這一步,專案方團隊成員窩藏在英國何處,成為了社羣調查組與英國警方面對的新問題。
根據英國的防疫政策,所有前往英國的旅客都被要求進行 10 天的自我隔離與申報。如果潛逃的專案方成員按規定自我隔離,理論上是可以蒐集到足夠線索追查到他們的確切地址。而壞訊息是,截至調查成員與英國警方截獲這個線索時,團隊成員的隔離期很可能即將結束。
Ogle 以及社羣調查組對團隊成員可能居留的地址進行了推測分析,並進行了地毯式搜尋。最終獲得情報的英國警方順利抓獲了專案方成員。被捕獲的專案方成員隨身攜帶了大量可疑的加密電子裝置,這些裝置中儲存的就是投資者被盜的資產。在英國警方的努力下,被捕的專案方成員最終選擇了配合調查,並同意將攜帶的贓款退回。
至此,這一長達月餘,涉及多個國家或地區,涉案金額高達2400 萬美元的 DeFi 詐騙案總算取得了重大進展。
挑釁與還擊
但事情並未完全結束。被捕的成員退還的資產總計約 2250 萬美元,但聲稱有部分資產遺失了。此外,目前仍有部分成員行蹤不明。更蹊蹺的是就在被捕的成員打算退款的時候,有部分價值幾十萬美元的資產被轉移。警方最終接收到的資產,正好有同等數量的資產缺失。社羣懷疑是在逃的專案方成員所為,如果事實如此,這無異於是對社羣與警方的挑釁。
在挑釁下,失去耐心的獨立匿名組織終於忍無可忍,選擇直接公開曝光了他們的身份,並聲稱若在逃專案方人士持續拒絕溝通,將公佈他們更多個人資訊。而以 Ogle 為首的核心調查組也一直在努力取得與專案方聯絡,以追回全部資產並安撫社羣。
嫌疑人照片
退還贓款
退款是所有受害者最關心的問題。英國警方成功找回了 91% 的被盜資產,所有資產將被退還給全球受害者。值得一提的是,由於部分地區的使用者並不方便接受法幣退款,在社羣成員的努力與建言下,英國警方採用了鏈上退款,而並非法幣退款。
英國警方釋出的新聞
受害者需要透過小額打款驗證錢包的所屬權,並且提交一些當地的立案資訊以及 KYC/AML 資訊,經過驗證後即可進行退款。雖然對於國內的受害者而言這樣的方案仍有一定執行難度,但這已經為受波及的投資者提供了儘可能大的便利,而對於仍未追回的 10% 資金,目前社羣仍然在努力與英國和國際警方進行追查,爭取全部資產歸還受害者,以及全力追蹤在逃專案方成員。
英國警方給社羣成員的郵件
截至目前,英國警方也留意到中國地區的受害者連報案立案都很困難,他們也在考慮進一步最佳化對中國地區受害者的退款流程。
後續
在採訪社羣成員並瞭解了整個案件的經過後可以發現,StableMagnet 案件之所以能夠順利告破,得益於社羣成員的努力以及與警方的通力合作。這或許也可以成為一個良好的開端,併為未來類似的事件提供一個典型的案例參考。
在採訪的最後,當被問到未來如何避免此類事件的發生時,Ogle 表示,在 CeDeFi 領域,未來或許可以對合約的部署新增 KYC 要求,並且由一個 DAO 或一個組織治理。當然很多人會認為這不夠去中心化,許多加密愛好者對此亦不感興趣,但這個方式可能會受傳統金融的參與者歡迎,並且吸引他們入場。這無關對錯,只是看如何取捨。如果在完全去中心化的世界,為了避免遭遇此類事件,建議參與者不要盲目衝頭礦,可以等待 3-6 周再行參與,雖然拿不到初期的超額收益,但也避免了一定風險。
此外還建議投資者在專案的選擇上儘量選擇安全性更強的專案,例如實名的團隊、在程式碼可驗證的、Launchpad 上(例如 SAFERmoon)發行的、以及經過可靠的安全公司審計的專案等。
最後,Ogle 表示,作惡皆有其後果,他會讓作惡者付出代價。這也是社羣調查組致力於徹底追查本次事件的初心,即把本次事件當做一次示範,來警示所有企圖利用區塊鏈匿名性去作惡的人:「即便你躲在電腦螢幕後面,也會在現實世界為自己的行為承擔後果」。
注:如果你是 StableMagnet 事件的受害者,可以加入電報群 @StableMagnet 或聯絡 Ogle (推特 : @Cryptolge) 獲取退款的相關資訊及進展。
