近乎是在同一時間,今年所發生的兩起較大的DeFi安全問題事故都有了最終的答案。在北京時間8月12日,歷經約52小時的Poly Network事故,黑客最終選擇將所有資產返還;另一起起始于6月23日的BSC:StableMagnet案件(下述簡稱:SMAG),歷時一個多月的時間英國也回收了大部分資產,并發布了官方新聞稿。同樣的DeFi安全事故,同樣的happy ending,不同于Poly Network案件中大型機構在行業中一呼百應、集百家之力讓黑客迅速屈服,SMAG事件講述了一個沒有機構支持下的去中心化社區如何團結自救、與頑固黑客開展激烈而漫長的對抗、最終取得勝利的斗爭故事。
也是這個沒有機構支持下的去中心化社區,實現了多個”第一次”。第一次推動實現了與中心化力量的通力合作,在的參與下破獲大型DeFi案件。DeFi攻擊歷史上第一次由推動鏈上退款。而且發起的是英國,眾所周知英國是傳統金融與傳統秩序的橋頭堡,中心化世界的最大勢力之一。此舉在DeFi與中心化世界都有里程碑意義。
最近因Poly Network案件的影響,DeFi安全又成為了一眾農民和加密社區廣泛討論的現實問加密社區通力合作成功破獲并追回數字資產的DeFi安全案件,具有重要的里程碑意義。
通過對SMAG案件親歷者的采訪,將本案件為大家全方面展開。
受訪者具有多年區塊鏈行業從業經驗,是DeFi老農民,有較廣的加密社區人脈,并且是該案件的重要報案人之一。
下面我將從受訪者的視角為大家展開。在不改變事件原貌的情況下,結合了事件相關報道,對某些采訪內容在文字上做了一定的修飾。(以下“我”/“我們”為受訪者/加密社區科學家好友們)
出事前:
6月20日(出事前三天),我通過BSC Daily解到了BSC上面的StableMagnet礦池,當時穩定幣的年化高達上千幾百,非常有吸引力。這個項目剛推出時,并沒有引起太大關注。多數普通投資者不懂代碼,將其當作是一個新的土狗項目,多數小散是小資金參與。與普通人不同,老玩家和科學家通過分析合約安全性去判斷是否值得冒險。作為DeFi老農民,我保持了一貫習慣,研究了相關資料,并與圈內幾位科學家好友交流過意見后,我們認為其安全。并且由于其超高的APY,我們選擇了重倉參與。該項目雖然沒有多大公眾知名度,但這個項目已經悄悄地在科學家圈子流傳開來,兩天內TLV就從幾百萬U增加到2400萬U。
卡巴斯基GReAT團隊研究人員發現一個木馬化的DeFi應用程序:金色財經消息,國家網絡威脅情報共享開放平臺發表文章稱,近日,卡巴斯基GReAT團隊研究人員發現了一個木馬化的DeFi應用程序,其編譯時間為2011年11月,與Lazarus組織使用的其他工具有許多相似之處。該應用程序為一個合法DeFi錢包,可用于保存和管理加密貨幣,但是在執行時會植入一個惡意軟件。該惡意軟件是一個功能齊全的后門,用于控制被感染的受害者主機。[2022/4/18 14:31:56]
出事前的“警報”:
在共計發生之前的幾個小時,科學家和一些加密社區成員收到了來自匿名消息來源的信件,信件中暗示SMAG將Rug Pull。我們沒有證據,無法核時信件中的說法,并且科學家們在“進入”前便研究過代碼并未發生什么異樣。如果我們在社區公開警告并且指控該項目是虛假的,很有可能會引起強烈的FUD并最終可能傷害到這一個無辜的項目。這封匿名信件讓我們有些左右為難,盡管我們開始有了一些懷疑,但我們并沒有對此事進行過多的表態。這段內容有混淆。情況是部分加密社區成員收到匿名信,rekt是其中之一。Rekt雖然提前看到了但選擇了沒有公布,多數收件人是沒有看到。
事故發生:
6月23日亞洲時間凌晨,StableMagnet Finance趁著多數投資者的睡眠時間,發動攻擊,盜取了用戶2400萬美元穩定幣跑路,并且洗劫用戶的錢包。項目網站、電報群、推特全都都關閉和解散。項目發生不久,就已經迅速被社區識別,隨機社區立刻向幣安報告情況。但沒有取得像Poly事件中那么迅速的關注,黑客有上千萬美金的資產甚至是通過幣安轉出的。
維權:
約有超過1000個錢包在SMAG上擁有資產。在事故發生后不久,中文和英文的項目維權群便迅速建立了起來。開始是不知所措,慌亂隨即而來。社區雖然在案發后十幾分鐘便迅速聯絡交易所,但該交易所超過六小時都未進行響應,甚至有上千萬美金的資產成功通過交易所跨鏈轉移(待遇與Poly事件天差地別)雖然該交易所雖然未能阻止上千萬美金資產流出,但該交易所在事后也快速啟動了調查,匯總線索。
國際清算銀行創新中心將于2022年開發DeFi產品:1月25日消息,國際清算銀行計劃在2022年啟動新的CBDC和DeFi相關項目。根據周二的新聞稿,國際清算銀行(BIS)創新中心將在央行數字貨幣和下一代支付系統方面啟動更多項目,并通過探索和開發DeFi應用程序來擴大其查詢組合。
在17個已經啟動或將于2022年啟動的項目中,有13個項目涉及CBDC。該銀行還正在設立一個由其香港中心領導的新項目,該項目將“探索DeFi技術-區塊鏈、代幣化、智能合約和客戶識別,是否可以改善中小企業的融資狀況。(Crypto Briefing)[2022/1/25 9:12:21]
雖然這個項目投資者沒有廣泛社會資源與人脈關系的頭部機構,未能取得像PolyNetwork事件那樣一呼百應,取得快速而廣泛的關注與業內各方支援。但加密社區沒有放棄,別忘了這個項目的參與者有很多科學家。社區與騙子的對決也將正式開始。以Ogle為核心的社區調查組自發地成立了起來,開始對黑客留下的所有痕跡與線索開展社區調查。
重整旗鼓:
雖然我們沒有阻止這次襲擊,并且跑路消息也并不容易接受,但我們的一些懷疑與收到的匿名信件確實相關,我們得出結論Techrate審計并非是完全可靠的。那封匿名信件重新進入到大家眼前,科學家們和安全專家們也開始重新對該項目進行梳理。
漏洞是埋在未驗證的函數庫里,而我們起初以為函數庫是經過驗證的,當時并沒有人去核實這一點。
Rug Pull從這筆交易開始:
? ? ? ?
(圖片來源:rekt.news)
最初被盜走的2220萬美元的穩定幣是通過未經驗證的源代碼從StableMagnet 3Pool中提取的,隨后金額上升到2700萬美元,并仍在增加。
安全公司Rugdoc在推特上發文稱,Ethersacn和BSCscan資源管理器不驗證鏈接庫源代碼,這允許利用者部署一個與源代碼完全不同的庫。因此SMAG的SwapUtils庫實際上被沒有被資源管理器所檢查,甚至都沒有警告源代碼未經被驗證。
報告:2020年加密盜竊及黑客事件有所減少 但DeFi領域犯罪活動正持續增長:據路透社1月28日消息,CipherTrace報告顯示,由于加密市場各部分參與者增強了安全系統,2020年加密貨幣盜竊、黑客攻擊及欺詐事件造成的損失下降了57%,損失額已降至19億美元(這一數字在2019年45億美元),但與此同時,“DeFi”領域的犯罪活動正在持續增長。[2021/1/28 14:15:59]
包含實際漏洞利用的SwapUtils庫:
0xE25d05777BB4bD0FD0Ca1297C434e612803eaA9a
(圖片來源:推特@Rugdoc.io)
未經驗證的SwapUtil庫不僅包含了可以抽取所有交易對的代碼,還包含了將更多Token轉移給所有批準SMAG的人的代碼。
Dopple和StableGaj等基于相同的代碼,這類協議仍在運行,它們的SwapUtils庫同樣未經驗證。
逃跑路線:
在我們洞察了黑客的Rug Pull后,他們的逃跑路線也十分明晰了。被盜資金被分配成多個地址,并存入幣安以切換到以太坊網絡上,然后迅速提取,將中心化的USDT兌換成為去中心化的DAI。
我們當時還在思考“存入幣安”這一環節能否阻擋住黑客,然而他們的逃跑計劃已經在多個地址順利展開。這是其中的一次:
BUSD發送到幣安的熱錢包:
0x2bac04457e5de654cf1600b803e714c2c3fb96d7
在以太坊網絡上接收到的USDT:
0xDF5B180c0734fC448BE30B7FF2c5bFc262bDEF26
將USDT兌換成DAI:0xe5daac909a3205f99d370bc2b32b1810a4912a07
OKEx DeFi播報:DeFi總市值97.6億美元,OKEx平臺MEME領漲:據OKEx統計,DeFi項目當前總市值為97.6億美元,總鎖倉量為137.5億美元;
行情方面,今日DeFi代幣普漲,OKEx平臺DeFi幣種漲幅前三位分別是MEME、DHT、MLN;
截至17:00,OKEx平臺熱門DeFi幣種如下:[2020/11/5 11:43:37]
社區識別出了攻擊原理與黑客的資金流轉軌跡后,開始對所有關聯地址進行調查,開始了這個最難的拼圖游戲。
幣安在案發后幾天內掌握了有效線索指向嫌犯可能在香港,并呼吁社區中香港受害者以及有香港本地資源的人士盡快與幣安取得聯系。社區線索也指向香港,并且有匿名組織已經嘗試聯絡疑似項目方成員。隨著社區調查工作的層層深入,基本上可以確定這一伙人是慣犯。通過前期無數拼圖的關鍵部分慢慢被拼湊起來,很快他們的身份信息就被確定了(具體確定身份的細節沒有公開,但可以透露的是黑客比較幼稚,留下了許多明顯的痕跡)。然而遺憾的是,項目方成員即便知道自己已經暴露,依然保持沉默、拒絕溝通,并且無視多次來自多個組織的警告。
在黑客拒絕溝通的情況下,問題無法以去中心化方式解決,受害者寄希望于。在香港受害者的努力下,香港也是最早實現立案的地區。隨后,英國等其他地區的受害者也實現了立案。項目方人士的個人信息很快傳遞給了香港。但香港一開始對待該事件的態度不緊不慢,收到線索他們也不打算采信社區的線索,而執著從涉案交易所獲取的證據。然而當時香港與該交易所出現一些溝通困難,于是香港方面沒有任何進展。那時局面陷入了僵局。
繼續搜尋證據:
在SMAG事件發生之后,匿名消息來源給我們提供了更多真實的信息。匿名者告訴我們,這一伙人在近期策劃了多個Rug Pulls,Moon Here Token和Wen Moon Token等項目也遭遇了類似的情況。并且他們還告訴了我們一個關鍵信息,Techrate審計了Github,但沒有審計部署的合約。Techrate已經注意到了這種Rug Pulls,但是他們沒有采取任何的行動。這并不是審計師成為頭號嫌犯的第一起事件,我們本就不應該期望他們可以指出這樣的問題。
動態 | 2019年USDC在DeFi平臺借貸額達5000萬美元 法幣支持的穩定幣中位居第一:Loan Scan數據顯示,穩定幣USDC今年在 3 大 DeFi 平臺Compound、Dharma和dYdX平臺上借貸額已達5000萬美元,是今年以來DeFi中借貸發行量最多的法幣支持的穩定幣。今年以來,這些平臺上發放的貸款中,約有十分之一是用USDC計價的,以USDC作為抵押的資產規模超過1.46億美元。[2019/11/7]
嫌犯:
嫌犯這一伙人與Poly Network的黑客所展現出來的形象完全不一樣。Poly Network黑客可能是個技術過人且才華橫溢的年輕人,沒準還在讀書。他非常自信,但并不大膽。當他的某些線索被掌握之后,他便開始害怕。他不像他說的那樣在乎錢,而是因為外界壓力和相關線索被持續挖掘而愿意妥協,但他并不愿意展現出屈服的態度,于是通過戲劇化又歇斯底里的表現,他試圖讓自己想變成“白帽”、救世主,以掩蓋他最初卑鄙的動機(受訪者個人揣測)。與Poly黑客截然相反,SMAG這一伙人給我的感覺是極端頑固,拒絕任何形式的屈服,即便身份暴露、即便社區多次警告,都無動于衷,直到找到他們。
在介入之前,社區成員與匿名組織(有匿名組織甚至次日就已經掌握疑似項目方成員的聯系方式,最終驗證是正確的)已經完全掌握了嫌犯的完整身份信息、社會關系以及聯系方式。他們是一群香港年輕人,有的甚至還沒有畢業,團隊首腦從事區塊鏈、網絡安全、計算機開發以及相關的工作,經營著一家香港公司。據了解,有匿名組織已經多次聯系嫌犯。嘗試以去中心化的方式來解決問題,但嫌犯并沒有理會,拒絕溝通與退款,他們的行徑與普通黑客所展現出來的非常不一樣。當一個黑客被人掌握了確切的現實身份信息以及其社會關系時,大多數都會變得慌張,但這一伙人沒有。社區原本希望以去中心化的方式解決問題,給予這幾個年輕人一條后路,但他們選擇最糟糕的選項。這意味著中心化世界的制裁即將降臨。
意外之喜:
在英國的報案得到英國的高度重視。在報案的第二天就已經實現立案,并且移交重案組,并且與社區保持高度暢通的聯系。與此同時,社區成員與匿名組織取得關鍵性線索,成功捕獲到項目方成員的行蹤,了解到他們已經從香港逃往英國,并且陸續分析出更具體的位置信息。這個信息被迅速移交給英國。在大量有效信息支持下,英國迅速采取了行動,成功抓獲項目方成員。
行動:
此案行動代號加布羅(Op Gabbro),負責時英國曼切斯特網絡犯罪科、經濟犯罪科、反洗錢與金融調查科的重案組。英國行動非常迅速,在一日立案,一周內實施抓捕并追回2220萬美金資產。在此期間,他們一直保持開放態度,傾聽加密社區意見。
辦案的一些細節:
來自不同國家和地區的受害者將資金甚至是個人的全部存款存入到BSC:StableMagnet礦池中,等運營該礦池的騙子一直等到大量資金存入之后才跑路,并將盜竊的資金轉入進他們的賬戶。然而對騙子來說不幸的是,他們在現實的行蹤并沒有隱匿得無影無蹤。
加密社區的硬核科學家通過高科技追查到了一對嫌犯的現實行蹤,他們將從中國香港飛到英國,會在曼切斯特做短暫的停留。當英國收到了該條情報后,迅速對其進行追蹤,率先找到了包含950萬美元被盜的以太坊資金。
與此同時,一名23歲男子和一名25歲女子因欺詐和洗錢罪被捕,并進行了調查。出于爭取減刑等法律目的,被抓捕的嫌犯選擇與合作。幾天后,又找到了1270萬美元。最終,英國曼切斯特警察局經濟犯罪部門的專家官員從Tornado中取回了共約2220萬美元的加密貨幣資產。(新聞稿)? ?
案件仍未結束:
StableMagnet團隊中仍有三位在逃的主要嫌犯,已被加密社區曝光,分別是:香港理工大學 信息安全專業 畢業生;香港中文大學 計算機專業 準畢業生;香港浸會大學 英文專業 在校生。其個別成員的簡歷甚至都得以曝光。香港將繼續采取行動將其抓捕歸案。社區還掌握其他成員的信息,但并不進行披露。
盡管已經回收了大部分資產,但仍有一些資產仍未找到。據了解,嫌犯稱一部分的資產已經丟失。社區對此是高度存疑的,因此社區調查不會停止。
資產退款:
英國已經啟動退款流程。在加密社區的努力下,突破性地以鏈上退款的方式(USDT-ERC20)對全球受害者退款。全球的受害者可以先聯絡郵箱:OpGabbro@gmp.police.uk獲取必要信息指引后,向當地報案,
英國官方通告:
https://www.gmp.police.uk/news/greater-manchester/news/news/2021/august/millions-waiting-to-be-claimed-by-rightful-owners-as-gmp-rumble-international-crypto-currency-scam/?__cf_chl_captcha_tk__=pmd_21fef4ab284b1245128d4569375a2ee182dc02c2-1628844234-0-gqNtZGzNBDijcnBszQoi
有條件的大陸受害者可以前往香港報案,香港會受理。
注意:在事件受到關注后,電報群上出現了針對SMAG受害者的詐騙。如果有詐騙者謊稱為受害者處理退款實施詐騙,請勿輕信。
感觸:資產能夠被成功追回,得益于開放社區眾多個人與加密組織、尤其是Ogle的團隊為期三周的馬拉松式大規模調查、英國匿名者的參與、與的快速響應,以及去中心化社區與中心化力量的通力合作。
資本與權力依然在去中心化世界扮演非常重要的角色。O3與Poly Network是行業知名項目,眾多機構與圈內頭部權力人士參與。案發后,大型機構與權力在行業中一呼百應、得到業內包括Tether、USDC等各大項目以及交易所的快速響應,集百家之力迅速震懾黑客,讓黑客迅速屈服。
SMAG事件是沒有機構光環與權力支持下的去中心化社區團結自救、與頑固黑客開展的對抗。他們雖然在案發后十幾分鐘便迅速聯絡交易所,但涉案交易所超過六小時都未進行響應,甚至有上千萬美金的資產成功通過交易所跨鏈轉移,待遇與Poly事件天差地別。
Ogle也分享了該案件與Poly Network的看法:Poly黑客看起來可能是一個擁有超強技能的人利用了項目的漏洞,而SMAG從一開始就是為了Rug Pull,為犯罪而精心設計出來的項目;從攻擊者的角度來看,我不清楚Poly的攻擊者是否是一個團隊,但他與SMAG所展現出來的形態是完全不一樣的,SMAG是團隊型作案,夾雜著傲慢。
參考:https://rekt.news/stablemagnet-rekt/
https://www.gmp.police.uk/news/greater-manchester/news/news/2021/august/millions-waiting-to-be-claimed-by-rightful-owners-as-gmp-rumble-international-crypto-currency-scam/?__cf_chl_captcha_tk__=pmd_21fef4ab284b1245128d4569375a2ee182dc02c2-1628844234-0-gqNtZGzNBDijcnBszQoi
以及受訪者提供的相關材料
吳說作者?|?劉全凱
本期編輯?|?Colin Wu
Tags:EFIDEFDEFIMAGDeFi Degen LandnSights DeFi TraderMy Defi LegendsMAGACITY價格
從2020年末開始,NFT領域迎來了前所未有的迅猛增長,社群中對NFT的討論也與日俱增,這是NFT自2020年9月的小高潮之后迎來的真正爆發.
1900/1/1 0:00:00據Dailyhodl消息指出,根據向美國證券交易委員會(SEC)提交的文件,銀行業巨頭摩根大通和富國銀行正準備與加密貨幣巨頭紐約數字投資集團(NYDIG)合作,推出新的比特幣基金.
1900/1/1 0:00:00市場上總是有人把比特幣看作是一種“新黃金”或“數字黃金”。首先先來了解一下,為什么大家總喜歡把比特幣和黃金放在一起做比較。簡單說,兩者之間有很多相似性.
1900/1/1 0:00:00頭條 ▌福布斯:美國國會今年已推出18項加密和區塊鏈相關法案8月23日消息,據福布斯統計,美國第117屆國會目前已經提出了18項直接影響加密貨幣、區塊鏈技術或中央銀行數字貨幣的法案.
1900/1/1 0:00:00據報道,2016年初,PayPal首席執行官丹·舒爾曼(Dan Schulman)決定,他要好好思考一下加密貨幣.
1900/1/1 0:00:00對新興事物,關注的人總是一方面充滿了期待和興奮,另一方面也充滿了焦慮和疑惑。對投資NFT領域,關注的投資者就有這樣的情緒。最近國內越來越多的人也開始關注NFT代幣了.
1900/1/1 0:00:00