DEFI:全方位还原一场社区主导「破获」的 DeFi 大劫案

我们从跑路的 StableMagnet 项目方手里把钱夺了回来。

上周对 DeFi 世界来说是不太平的一周，Poly Network、去中心化年金协议 Punk Protocol、BSC 上借贷协议 Neko、NEAR 生态的去中心化交易所 Ref.Finance 等等项目先后遭到黑客攻击，损失的金额从数百万到数亿不等。其中部分攻击者返还了资金，仍有一些黑客至今逍遥法外。

或许正如从 Poly Network 盗取6 亿美元资产的黑客所言，这个世界上没有完美的系统，只有我们还没有发现的漏洞。如果说去中心化的项目因为代码逻辑漏洞被黑客攻击还能算是发展道路上的阵痛，那么本身就是以侵吞资产为目的项目就是赤裸裸的犯罪了。

BSC 上的稳定币 DeFi 项目 —— StableMagnet

故事的开始要从币安智能链（BSC）上的一个 DeFi 项目 StableMagnet 说起。

今年上半年以太坊的性能瓶颈在 DeFi 大热的情况下引发流量外溢，而背靠币安的 BSC 凭借上佳的用户基础以及链上体验异军突起，在以太坊扩容网络尚未完备的阶段迅速抢占市场。不过 BSC 的火爆也吸引了大量投机项目方，他们部署了带有流动性挖矿奖励的 DeFi 项目吸引用户参与，也就是所谓「土狗」。这些「土狗」本也就没有打算长期运营，就是希望利用早期的高收益率吸引一些徒，将项目币价拉高后抛出手中预留给项目方的代币完成收割。

可以说，这类项目风险较高，你永远不知道项目方会在什么时候砸盘，更有甚者，有预谋地利用预留的漏洞偷走投资者的资产并从此销声匿迹。

PlatON与ChainX、PolkaWorld达成全方位战略合作:金色财经报道，全球隐私计算网络与分布式经济体基础设施PlatON宣布与ChainX、PolkaWorld达成全方位战略合作。

ChainX是基于Substrate框架开发且最早上线的项目，致力于比特币Layer2拓展、数字资产网关及波卡2级中继链的研究与应用，主网已经上线并平稳运行1年半。PolkaWorld是中国最大的polkadot社区之一，拥有完善的社区资源和较大的行业影响力。

此次PlatON与ChainX、PolkaWorld将从应用生态、节点建设、社区运营、技术合作等维度进行全方位的合作，ChainX也将作为PlatON与Polkadot生态之间的一座桥梁，助力两大生态实现互融互通。

同时，PlatON还将与ChainX共同探讨共同创办孵化器，专注PlatON生态项目孵化，从资金、技术、社区全方位支持生态项目的建设，ChainX、PolkaWorld也针对目前社区热议的PlatON应用生态图谱给予专业的建议，通过应用生态图谱，明确PlatON未来的战略方向与实现路径，通过孵化器，发掘为生态添砖加瓦的团队/开发者，形成良性循环，共建繁荣稳定的PlatON生态蓝图。[2021/3/12 18:39:13]

而 StableMagnet 就是后者。

据本次项目的受害者描述，StableMagnet 在 BSC Daily 等宣传渠道中均被提及，吸引了一部分 BSC 用户的注意，但并没有在普通社群引起很大的水花，在多数人看来这大概是无数普通「土狗」项目中的一个。不过社区中有代码审查能力的成员在检查了该项目的代码后得出了一个结论：这个项目的代码没有明显的漏洞，或者至少说即使项目方存在主观恶意也无法顺利从合约中转走资产。

火币钱包2.0全新上线，正式升级为全方位DeFi资产收益管理平台:据火币钱包官方消息，火币钱包2.0已正式升级上线，此次升级是为顺应 DeFi 潮流，为用户提供更加丰富、便捷的 DeFi 投资体验，助力火币钱包从资产存储和管理工具升级为全方位去中心化资产收益管理平台。

据了解，火币钱包2.0升级注重 UI 界面和用户体验的提升，旨在帮助更多用户轻松使用 DeFi 协议。钱包首页进行了全新改版，用户可以更快捷地使用DeFi ，打开钱包APP用户即可在钱包首页看到各个头部 DEX 入口，最热 DeFi 项目列表和各类资产数据；APY排行榜、各类原创教程，帮助用户第一时间捕捉投资机会，并轻松使用相应 DeFi 协议。

火币钱包是一款专业多币种轻钱包，于 2018 年 9 月 14 日正式上线，依托火币集团在区块链领域的技术积累和安全经验，从多重维度保障全球数字货币用户的资产安全，提供简单便捷、安全可靠的数字资产管理服务。[2020/9/29]

由于认为其代码安全并且 APY 颇高，在小范围科学家群体中，这个项目流传开来。为进一步保障项目安全，项目方甚至主动设置了合约时间锁。看到项目方采取了进一步的安全措施，审查过合约的专业用户们更有自信地进行了更大金额的投入，导致这个名不见经传的项目的 TVL 在短短几天的时间里就从几百万美元上升至 2400 万美元。但大家不知道的是，这个项目看似「没有问题」的外表下，正酝酿着阴谋。

最大的危险潜藏在最隐蔽的角落

虽然项目的代码逻辑没有漏洞，但此次问题并不是出在项目本身的智能合约中，而在智能合约调用的底层函数库。项目方在底层函数库 SwapUtils Library 中植入后门，因此不论项目本身的智能合约代码是否安全、是否有时间锁，项目方都可以直接利用底层函数的后门转移资产。由于 Dopple 和 StableGaj 两个 DeFi 项目也基于相同的协议开发，他们底层函数库 SwapUtils Library 同样未经验证，StableMagnet 事件也暴露了这两个项目的安全风险。

动态 | 中国联通结合区块链等技术实现全方位智慧工地管理:在复工复产大潮中，中国联通正发挥独特的创新技术优势，利用5G、大数据、云网融合、云计算等新技术，结合数据一点集中优势，推动重大项目复工复产。其中，中国联通与中国建筑集团打造的位于亦庄经济技术开发区的“5G智慧工地”项目。“5G智慧工地”项目实现了多项突破：运用“一通多能四驱动”架构，采用定制化5G网络，围绕人、机、料、法、环、测等施工管理，实行5G实名制双防监管系统、5G双360度空间立体实时监控系统、5G智慧信息岛、多维安全监控系、5G作业面监管系统统、5G+智慧图纸技术等大量功能，同时结合了人工智能、区块链、云计算加边缘计算、大数据等技术，开启多项创新应用，实现全方位智慧工地管理。（新华网）[2020/2/19]

RugDoc 针对 StableMagnet 事件所作的漫画

过去的黑客攻击事件大都是利用了项目本身的智能合约逻辑漏洞，这导致反而容易忽视对底层函数库的查验。而未经验证的底层函数库是可以被动手脚的。项目方正是利用了这一点。

北京时间 6 月 23 日的凌晨，本次事件正式拉开帷幕。

在东八区的大多数投资者还在熟睡之际，项目方通过事先预留的漏洞转移出了价值 2400 万美元的资产，项目网站、推特、电报群全部关闭或解散。项目方甚至直接将盗取的部分 BUSD 以及 USDT 转入币安交易所并换成 DAI 之后转出。

动态 | 四方精创报告：具备从区块链底层平台到应用解决方案的全方位研发交付能力:四方精创（300468）发布2019年半年度报告。报告中表示，该公司积极投入分布式、区块链、跨境支付、云计算等新技术研发，公司目前已具备从区块链底层平台到应用解决方案的全方位研发与交付能力，具备区块链+通证经济融合创新应用的能力，并在数字货币、应用型通证等加密数字资产领域积累了丰富的研发与运营经验。报告还表示，该公司结合自身经营情况，一直致力于通过创新驱动战略，加大力度研发分布式架构、区块链及支付类等新技术，通过与全球不同的区块链联盟、商业机构与高校的合作，不断在区块链领域实现创新与突破。[2019/8/30]

项目方实施行动后 10 多分钟，Ogle 等社区成员已经发现了异常，开始追踪攻击地址，也在被盗资产转移入币安交易所后在第一时间进行了举报，但币安并未即时采取行动。项目方最后还是成功将 DAI 从交易所中转出。

值得一提的是，部分知名社区成员以及 DeFi 安全媒体曾在攻击前收到匿名信息，称 SMAG（StableMagnet）项目可能跑路，但由于无法确认警告者的身份与信息真实性，加之项目核心的智能合约本身并没有问题，出于谨慎考虑，收到警告的人并未第一时间在社区中公开这一信息。

社区的反击

通常在项目被攻击之后，项目方会联合投资方共同出力查找黑客或者对损失进行赔偿。但 StableMagnet 的问题是项目方监守自盗。为了自救，社区成员决定尽一切可能搜索并定位项目方。于是，一场浩浩荡荡的打击犯罪的行动开始了。

迫于韩国当局的全方位压力有3家银行宣布不为虚拟货币交易所提供虚拟账户:韩国虚拟货币交易所将在30日开始恢复实名制，但是有3家银行决定不为虚拟货币交易所提供新的虚拟账户，另外3家表示完全没有为虚拟货币交易所提供虚拟账户的计划。新韩银行，NH农业银行及IBK企业银行表示将决定暂停提供新的虚拟账户。只有那些以前拥有虚拟货币交易账户的客户可以在30日完成确认真实姓名后使用他们现有的账户。国民银行在去年7月虚拟货币交易所中发生泄露客户信息事件之后关闭了虚拟账户。KEB韩亚银行正在考虑与全球金融公司建立自己的区块连锁网络，但并未与虚拟货币交易所签署协议。友利银行因由于更换自己的计算机网络，很难在30日之前建立真实姓名系统而决定暂时不提供虚拟账户。[2018/1/24]

定位项目方

想要追回资产首先要找到人。据社区成员透露，负责通过技术手段搜查项目方踪迹的核心工作主要由一位 DeFi 领域的 KOL?Ogle 以及其团队完成，而此人也是该事件的受害者之一。

在交流过程中，Ogle 分享了他们获取线索的一种特殊的方式——代码习惯。社区成员表示，每个写代码的人都不可避免地有个人习惯，而这些习惯会在代码的书写方式中体现地非常明显，这种痕迹堪比一个人的「字迹」。Ogle 正是在 Github 上通过 StableMagnet 代码中某些特征找到了关联项目，并通过分析这些关联项目最终确定了项目方是香港的一个团队。调查组综合其他线索，继而发现项目成员注册的公司，并通过与公司关联的公开信息成功寻找到了其他相关成员。

与此同时，币安的调查线索也指向了项目方可能在香港。获知此消息，香港受害者很快向香港报案。与此同时，社区调查组织也排查获取到了项目方成员的联系方式，并试图进行沟通。但团队成员无视所有的联络，拒绝沟通与还款。

此时，社区中出现希望直接曝光项目方身份的声音。除了核心社区调查组掌握他们的个人信息，社区中也有声称「拥有权限」的独立匿名组织表示已掌握他们的个人信息，他们希望直接公布个人信息，但被 Ogle 劝阻。

此后，核心社区调查组无数次公开呼吁项目方与 Ogle 取得联系，一方面是推动尽快退款，另外一方面是避免他们的个人信息被失去耐心的独立匿名人士 / 组织暴露造成不可控的后果。但项目方成员并未接纳这一「善意」。

错失最佳时机，项目方潜逃

虽然香港已立案，但或许是因为程序问题，香港并未采信社区提供的种种证据。由于项目方在币安交易所留有痕迹，香港方面希望币安提供相关证据。但由于一些原因，香港与币安的沟通陷入停滞。而社区成员没有执法权，即使他们已经确定项目方身份，也无法控制他们，于是只能等待能够推进案件的调查。案件一时间陷入了僵局。

不过或许是团队成员感受到了压力，也了解到社区已经大致定位了他们的身份与位置，于是在案件停滞不前的阶段，仓促逃往了英国。但是等待这些团队嫌疑人的并不是由于时间的推移而案件平息的剧本，而是一场新的「围剿」。

抓捕归案

在大家为香港的进展着急时，社区调查组发现了项目方团队成员逃往英国的最新行踪。这也成为了事件的转机。在社区成员的举报下，英国很快立案，并且由重案组专门跟进，而英国根据社区提交的信息，启动了对逃往英国的项目方成员的调查。事情发展到这一步，项目方团队成员窝藏在英国何处，成为了社区调查组与英国面对的新问题。

根据英国的防疫政策，所有前往英国的旅客都被要求进行 10 天的自我隔离与申报。如果潜逃的项目方成员按规定自我隔离，理论上是可以搜集到足够线索追查到他们的确切地址。而坏消息是，截至调查成员与英国截获这个线索时，团队成员的隔离期很可能即将结束。

Ogle 以及社区调查组对团队成员可能居留的地址进行了推测分析，并进行了地毯式搜索。最终获得情报的英国顺利抓获了项目方成员。被捕获的项目方成员随身携带了大量可疑的加密电子设备，这些设备中存储的就是投资者被盗的资产。在英国的努力下，被捕的项目方成员最终选择了配合调查，并同意将携带的赃款退回。

至此，这一长达月余，涉及多个国家或地区，涉案金额高达2400 万美元的 DeFi 案总算取得了重大进展。

挑衅与还击

但事情并未完全结束。被捕的成员退还的资产总计约 2250 万美元，但声称有部分资产遗失了。此外，目前仍有部分成员行踪不明。更蹊跷的是就在被捕的成员打算退款的时候，有部分价值几十万美元的资产被转移。最终接收到的资产，正好有同等数量的资产缺失。社区怀疑是在逃的项目方成员所为，如果事实如此，这无异于是对社区与的挑衅。

在挑衅下，失去耐心的独立匿名组织终于忍无可忍，选择直接公开曝光了他们的身份，并声称若在逃项目方人士持续拒绝沟通，将公布他们更多个人信息。而以 Ogle 为首的核心调查组也一直在努力取得与项目方联系，以追回全部资产并安抚社区。

嫌疑人照片

退还赃款

退款是所有受害者最关心的问题。英国成功找回了 91% 的被盗资产，所有资产将被退还给全球受害者。值得一提的是，由于部分地区的用户并不方便接受法币退款，在社区成员的努力与建言下，英国采用了链上退款，而并非法币退款。

英国发布的新闻

受害者需要通过小额打款验证钱包的所属权，并且提交一些当地的立案信息以及 KYC/AML 信息，经过验证后即可进行退款。虽然对于国内的受害者而言这样的方案仍有一定执行难度，但这已经为受波及的投资者提供了尽可能大的便利，而对于仍未追回的 10% 资金，目前社区仍然在努力与英国和国际进行追查，争取全部资产归还受害者，以及全力追踪在逃项目方成员。

英国给社区成员的邮件

截至目前，英国也留意到中国地区的受害者连报案立案都很困难，他们也在考虑进一步优化对中国地区受害者的退款流程。

后续

在采访社区成员并了解了整个案件的经过后可以发现，StableMagnet 案件之所以能够顺利告破，得益于社区成员的努力以及与的通力合作。这或许也可以成为一个良好的开端，并为未来类似的事件提供一个典型的案例参考。

在采访的最后，当被问到未来如何避免此类事件的发生时，Ogle 表示，在 CeDeFi 领域，未来或许可以对合约的部署添加 KYC 要求，并且由一个 DAO 或一个组织治理。当然很多人会认为这不够去中心化，许多加密爱好者对此亦不感兴趣，但这个方式可能会受传统金融的参与者欢迎，并且吸引他们入场。这无关对错，只是看如何取舍。如果在完全去中心化的世界，为了避免遭遇此类事件，建议参与者不要盲目冲头矿，可以等待 3-6 周再行参与，虽然拿不到初期的超额收益，但也避免了一定风险。

此外还建议投资者在项目的选择上尽量选择安全性更强的项目，例如实名的团队、在代码可验证的、Launchpad 上（例如 SAFERmoon）发行的、以及经过可靠的安全公司审计的项目等。

最后，Ogle 表示，作恶皆有其后果，他会让作恶者付出代价。这也是社区调查组致力于彻底追查本次事件的初心，即把本次事件当做一次示范，来警示所有企图利用区块链匿名性去作恶的人：「即便你躲在电脑屏幕后面，也会在现实世界为自己的行为承担后果」。

撰文：Eric

标签：DEFIEFIDEFNETDefi BombDefinexDeFi LandPamp Network

火币交易所热门资讯