我們從跑路的 StableMagnet 項目方手里把錢奪了回來。
上周對 DeFi 世界來說是不太平的一周,Poly Network、去中心化年金協議 Punk Protocol、BSC 上借貸協議 Neko、NEAR 生態的去中心化交易所 Ref.Finance 等等項目先后遭到黑客攻擊,損失的金額從數百萬到數億不等。其中部分攻擊者返還了資金,仍有一些黑客至今逍遙法外。
或許正如從 Poly Network 盜取6 億美元資產的黑客所言,這個世界上沒有完美的系統,只有我們還沒有發現的漏洞。如果說去中心化的項目因為代碼邏輯漏洞被黑客攻擊還能算是發展道路上的陣痛,那么本身就是以侵吞資產為目的項目就是赤裸裸的犯罪了。
BSC 上的穩定幣 DeFi 項目 —— StableMagnet
故事的開始要從幣安智能鏈(BSC)上的一個 DeFi 項目 StableMagnet 說起。
今年上半年以太坊的性能瓶頸在 DeFi 大熱的情況下引發流量外溢,而背靠幣安的 BSC 憑借上佳的用戶基礎以及鏈上體驗異軍突起,在以太坊擴容網絡尚未完備的階段迅速搶占市場。不過 BSC 的火爆也吸引了大量投機項目方,他們部署了帶有流動性挖礦獎勵的 DeFi 項目吸引用戶參與,也就是所謂「土狗」。這些「土狗」本也就沒有打算長期運營,就是希望利用早期的高收益率吸引一些賭徒,將項目幣價拉高后拋出手中預留給項目方的代幣完成收割。
可以說,這類項目風險較高,你永遠不知道項目方會在什么時候砸盤,更有甚者,有預謀地利用預留的漏洞偷走投資者的資產并從此銷聲匿跡。
鏈上ChainUP WaaS聯盟為Datahighway(DHX)提供全方位托管服務:據官方消息,鏈上ChainUP WaaS聯盟宣布與Datahighway(DHX)達成深度戰略合作,為DHX提供全方位的WaaS聯盟托管服務,包含主鏈技術開發維護、錢包資產托管、云節點服務等等,雙方就區塊鏈技術應用落地、區塊鏈金融服務、資金安全等方面深度合作。
Datahighway(DHX)是波卡生態官方builder孵化的物聯網項目,西湖Westlake主網于4月9日上線。Datahighway(DHX)已于4月13日今天上線BiKi。
鏈上ChainUP WaaS聯盟作為數字資產托管及金融服務平臺,是鏈上集團依托3年時間所服務的600多家企業客戶技術服務經驗,提供錢包資產托管、云節點服務、主鏈定制開發、熱門幣種一鍵接入、共管錢包、金融衍生品等多種功能服務,聯盟內部企業轉賬 0手續費、實時轉帳。目前已有超過500家企業加入鏈上ChainUP WaaS聯盟。[2021/4/13 20:14:22]
而 StableMagnet 就是后者。
據本次項目的受害者描述,StableMagnet 在 BSC Daily 等宣傳渠道中均被提及,吸引了一部分 BSC 用戶的注意,但并沒有在普通社群引起很大的水花,在多數人看來這大概是無數普通「土狗」項目中的一個。不過社區中有代碼審查能力的成員在檢查了該項目的代碼后得出了一個結論:這個項目的代碼沒有明顯的漏洞,或者至少說即使項目方存在主觀惡意也無法順利從合約中轉走資產。
PlatON與ChainX、PolkaWorld達成全方位戰略合作:金色財經報道,全球隱私計算網絡與分布式經濟體基礎設施PlatON宣布與ChainX、PolkaWorld達成全方位戰略合作。
ChainX是基于Substrate框架開發且最早上線的項目,致力于比特幣Layer2拓展、數字資產網關及波卡2級中繼鏈的研究與應用,主網已經上線并平穩運行1年半。PolkaWorld是中國最大的polkadot社區之一,擁有完善的社區資源和較大的行業影響力。
此次PlatON與ChainX、PolkaWorld將從應用生態、節點建設、社區運營、技術合作等維度進行全方位的合作,ChainX也將作為PlatON與Polkadot生態之間的一座橋梁,助力兩大生態實現互融互通。
同時,PlatON還將與ChainX共同探討共同創辦孵化器,專注PlatON生態項目孵化,從資金、技術、社區全方位支持生態項目的建設,ChainX、PolkaWorld也針對目前社區熱議的PlatON應用生態圖譜給予專業的建議,通過應用生態圖譜,明確PlatON未來的戰略方向與實現路徑,通過孵化器,發掘為生態添磚加瓦的團隊/開發者,形成良性循環,共建繁榮穩定的PlatON生態藍圖。[2021/3/12 18:39:13]
由于認為其代碼安全并且 APY 頗高,在小范圍科學家群體中,這個項目流傳開來。為進一步保障項目安全,項目方甚至主動設置了合約時間鎖。看到項目方采取了進一步的安全措施,審查過合約的專業用戶們更有自信地進行了更大金額的投入,導致這個名不見經傳的項目的 TVL 在短短幾天的時間里就從幾百萬美元上升至 2400 萬美元。但大家不知道的是,這個項目看似「沒有問題」的外表下,正醞釀著陰謀。
人民大學楊東:運用區塊鏈為知識產權提供全方位保護:中國人民大學未來法治研究院教授、區塊鏈研究院執行院長楊東建議,運用區塊鏈技術為知識產權提供從創造、使用到權利救濟全流程、全方位的保護,利用區塊鏈可溯源、不能篡改的屬性,滿足司法證據的需求。還可以嘗試基于區塊鏈技術的“共票”機制,將數據生產者、數據加工持有者、數據使用者緊密結合在一起,打破平臺對數據生產資料的壟斷,使數據原始生產者即廣大平臺的用戶可以加入到與數據相關生產經營中去,分享所獲利潤。(人民日報)[2020/12/5 14:03:13]
最大的危險潛藏在最隱蔽的角落
雖然項目的代碼邏輯沒有漏洞,但此次問題并不是出在項目本身的智能合約中,而在智能合約調用的底層函數庫。項目方在底層函數庫 SwapUtils Library 中植入后門,因此不論項目本身的智能合約代碼是否安全、是否有時間鎖,項目方都可以直接利用底層函數的后門轉移資產。由于 Dopple 和 StableGaj 兩個 DeFi 項目也基于相同的協議開發,他們底層函數庫 SwapUtils Library 同樣未經驗證,StableMagnet 事件也暴露了這兩個項目的安全風險。
RugDoc 針對 StableMagnet 事件所作的漫畫
過去的黑客攻擊事件大都是利用了項目本身的智能合約邏輯漏洞,這導致反而容易忽視對底層函數庫的查驗。而未經驗證的底層函數庫是可以被動手腳的。項目方正是利用了這一點。
火幣錢包2.0全新上線,正式升級為全方位DeFi資產收益管理平臺:據火幣錢包官方消息,火幣錢包2.0已正式升級上線,此次升級是為順應 DeFi 潮流,為用戶提供更加豐富、便捷的 DeFi 投資體驗,助力火幣錢包從資產存儲和管理工具升級為全方位去中心化資產收益管理平臺。
據了解,火幣錢包2.0升級注重 UI 界面和用戶體驗的提升,旨在幫助更多用戶輕松使用 DeFi 協議。錢包首頁進行了全新改版,用戶可以更快捷地使用DeFi ,打開錢包APP用戶即可在錢包首頁看到各個頭部 DEX 入口,最熱 DeFi 項目列表和各類資產數據;APY排行榜、各類原創教程,幫助用戶第一時間捕捉投資機會,并輕松使用相應 DeFi 協議。
火幣錢包是一款專業多幣種輕錢包,于 2018 年 9 月 14 日正式上線,依托火幣集團在區塊鏈領域的技術積累和安全經驗,從多重維度保障全球數字貨幣用戶的資產安全,提供簡單便捷、安全可靠的數字資產管理服務。[2020/9/29]
北京時間 6 月 23 日的凌晨,本次事件正式拉開帷幕。
在東八區的大多數投資者還在熟睡之際,項目方通過事先預留的漏洞轉移出了價值 2400 萬美元的資產,項目網站、推特、電報群全部關閉或解散。項目方甚至直接將盜取的部分 BUSD 以及 USDT 轉入幣安交易所并換成 DAI 之后轉出。
項目方實施行動后 10 多分鐘,Ogle 等社區成員已經發現了異常,開始追蹤攻擊地址,也在被盜資產轉移入幣安交易所后在第一時間進行了舉報,但幣安并未即時采取行動。項目方最后還是成功將 DAI 從交易所中轉出。
金色財經合伙人佟揚:以全方位資訊矩陣挖掘產業最大潛力:金色財經現場報道,9月17日晚21:00-24:00,由IDEX Global獨家總冠名;節點咨詢主辦;金色財經、IPFS100.com聯合主辦的“佟掌柜喊你來Lim酒”在廈門廈遇Bar曾厝垵店舉行。現場,金色財經合伙人、節點咨詢CEO、IPFS100.com CEO佟揚為酒會致辭。她介紹說,金色科技集團是一家專注于區塊鏈行業的集團化企業,旗下包括金色財經、節點資本、節點咨詢、金色數據、IPFS100.com、金色算力云等子公司。未來,集團將繼續秉持著“以技術推動創新、以匠心追求發展”的核心價值觀,堅持“規范、創新、高效、務實”的發展理念,挖掘產業最大潛力,創造行業最大價值。[2020/9/18]
值得一提的是,部分知名社區成員以及 DeFi 安全媒體曾在攻擊前收到匿名信息,稱 SMAG(StableMagnet)項目可能跑路,但由于無法確認警告者的身份與信息真實性,加之項目核心的智能合約本身并沒有問題,出于謹慎考慮,收到警告的人并未第一時間在社區中公開這一信息。
社區的反擊
通常在項目被攻擊之后,項目方會聯合投資方共同出力查找黑客或者對損失進行賠償。但 StableMagnet 的問題是項目方監守自盜。為了自救,社區成員決定盡一切可能搜索并定位項目方。于是,一場浩浩蕩蕩的打擊犯罪的行動開始了。
定位項目方
想要追回資產首先要找到人。據社區成員透露,負責通過技術手段搜查項目方蹤跡的核心工作主要由一位 DeFi 領域的 KOL?Ogle 以及其團隊完成,而此人也是該事件的受害者之一。
在交流過程中,Ogle 分享了他們獲取線索的一種特殊的方式——代碼習慣。社區成員表示,每個寫代碼的人都不可避免地有個人習慣,而這些習慣會在代碼的書寫方式中體現地非常明顯,這種痕跡堪比一個人的「字跡」。Ogle 正是在 Github 上通過 StableMagnet 代碼中某些特征找到了關聯項目,并通過分析這些關聯項目最終確定了項目方是香港的一個團隊。調查組綜合其他線索,繼而發現項目成員注冊的公司,并通過與公司關聯的公開信息成功尋找到了其他相關成員。
與此同時,幣安的調查線索也指向了項目方可能在香港。獲知此消息,香港受害者很快向香港報案。與此同時,社區調查組織也排查獲取到了項目方成員的聯系方式,并試圖進行溝通。但團隊成員無視所有的聯絡,拒絕溝通與還款。
此時,社區中出現希望直接曝光項目方身份的聲音。除了核心社區調查組掌握他們的個人信息,社區中也有聲稱「擁有權限」的獨立匿名組織表示已掌握他們的個人信息,他們希望直接公布個人信息,但被 Ogle 勸阻。
此后,核心社區調查組無數次公開呼吁項目方與 Ogle 取得聯系,一方面是推動盡快退款,另外一方面是避免他們的個人信息被失去耐心的獨立匿名人士 / 組織暴露造成不可控的后果。但項目方成員并未接納這一「善意」。
錯失最佳時機,項目方潛逃
雖然香港已立案,但或許是因為程序問題,香港并未采信社區提供的種種證據。由于項目方在幣安交易所留有痕跡,香港方面希望幣安提供相關證據。但由于一些原因,香港與幣安的溝通陷入停滯。而社區成員沒有執法權,即使他們已經確定項目方身份,也無法控制他們,于是只能等待能夠推進案件的調查。案件一時間陷入了僵局。
不過或許是團隊成員感受到了壓力,也了解到社區已經大致定位了他們的身份與位置,于是在案件停滯不前的階段,倉促逃往了英國。但是等待這些團隊嫌疑人的并不是由于時間的推移而案件平息的劇本,而是一場新的「圍剿」。
抓捕歸案
在大家為香港的進展著急時,社區調查組發現了項目方團隊成員逃往英國的最新行蹤。這也成為了事件的轉機。在社區成員的舉報下,英國很快立案,并且由重案組專門跟進,而英國根據社區提交的信息,啟動了對逃往英國的項目方成員的調查。事情發展到這一步,項目方團隊成員窩藏在英國何處,成為了社區調查組與英國面對的新問題。
根據英國的防疫政策,所有前往英國的旅客都被要求進行 10 天的自我隔離與申報。如果潛逃的項目方成員按規定自我隔離,理論上是可以搜集到足夠線索追查到他們的確切地址。而壞消息是,截至調查成員與英國截獲這個線索時,團隊成員的隔離期很可能即將結束。
Ogle 以及社區調查組對團隊成員可能居留的地址進行了推測分析,并進行了地毯式搜索。最終獲得情報的英國順利抓獲了項目方成員。被捕獲的項目方成員隨身攜帶了大量可疑的加密電子設備,這些設備中存儲的就是投資者被盜的資產。在英國的努力下,被捕的項目方成員最終選擇了配合調查,并同意將攜帶的贓款退回。
至此,這一長達月余,涉及多個國家或地區,涉案金額高達2400 萬美元的 DeFi 詐騙案總算取得了重大進展。
挑釁與還擊
但事情并未完全結束。被捕的成員退還的資產總計約 2250 萬美元,但聲稱有部分資產遺失了。此外,目前仍有部分成員行蹤不明。更蹊蹺的是就在被捕的成員打算退款的時候,有部分價值幾十萬美元的資產被轉移。最終接收到的資產,正好有同等數量的資產缺失。社區懷疑是在逃的項目方成員所為,如果事實如此,這無異于是對社區與的挑釁。
在挑釁下,失去耐心的獨立匿名組織終于忍無可忍,選擇直接公開曝光了他們的身份,并聲稱若在逃項目方人士持續拒絕溝通,將公布他們更多個人信息。而以 Ogle 為首的核心調查組也一直在努力取得與項目方聯系,以追回全部資產并安撫社區。
嫌疑人照片
退還贓款
退款是所有受害者最關心的問題。英國成功找回了 91% 的被盜資產,所有資產將被退還給全球受害者。值得一提的是,由于部分地區的用戶并不方便接受法幣退款,在社區成員的努力與建言下,英國采用了鏈上退款,而并非法幣退款。
英國發布的新聞
受害者需要通過小額打款驗證錢包的所屬權,并且提交一些當地的立案信息以及 KYC/AML 信息,經過驗證后即可進行退款。雖然對于國內的受害者而言這樣的方案仍有一定執行難度,但這已經為受波及的投資者提供了盡可能大的便利,而對于仍未追回的 10% 資金,目前社區仍然在努力與英國和國際進行追查,爭取全部資產歸還受害者,以及全力追蹤在逃項目方成員。
英國給社區成員的郵件
截至目前,英國也留意到中國地區的受害者連報案立案都很困難,他們也在考慮進一步優化對中國地區受害者的退款流程。
后續
在采訪社區成員并了解了整個案件的經過后可以發現,StableMagnet 案件之所以能夠順利告破,得益于社區成員的努力以及與的通力合作。這或許也可以成為一個良好的開端,并為未來類似的事件提供一個典型的案例參考。
在采訪的最后,當被問到未來如何避免此類事件的發生時,Ogle 表示,在 CeDeFi 領域,未來或許可以對合約的部署添加 KYC 要求,并且由一個 DAO 或一個組織治理。當然很多人會認為這不夠去中心化,許多加密愛好者對此亦不感興趣,但這個方式可能會受傳統金融的參與者歡迎,并且吸引他們入場。這無關對錯,只是看如何取舍。如果在完全去中心化的世界,為了避免遭遇此類事件,建議參與者不要盲目沖頭礦,可以等待 3-6 周再行參與,雖然拿不到初期的超額收益,但也避免了一定風險。
此外還建議投資者在項目的選擇上盡量選擇安全性更強的項目,例如實名的團隊、在代碼可驗證的、Launchpad 上(例如 SAFERmoon)發行的、以及經過可靠的安全公司審計的項目等。
最后,Ogle 表示,作惡皆有其后果,他會讓作惡者付出代價。這也是社區調查組致力于徹底追查本次事件的初心,即把本次事件當做一次示范,來警示所有企圖利用區塊鏈匿名性去作惡的人:「即便你躲在電腦屏幕后面,也會在現實世界為自己的行為承擔后果」。
撰文:Eric
Tags:EFIDEFDEFINETDEFILANCER價格DeFinitionKong DefiChain Relay Network
在不到30年甚至更短的時間內,人們如何從當前的NFT熱潮走向一個凈零碳排放的世界?常言道,技術的應用必將改變現狀.
1900/1/1 0:00:00在互聯網世界,我們擁有無數個賬號,關于社交、支付、游戲、購物……不過現在有一個很明顯的趨勢——賬號跨平臺互通,我們開始用同一個賬號去登錄不同的應用.
1900/1/1 0:00:00混合型智能合約包含區塊鏈上運行的代碼以及區塊鏈下的數據和計算資源,這些資源由去中心化預言機網絡傳輸至鏈上.
1900/1/1 0:00:00互聯網技術推動了虛擬世界的發展,人類社會正在建立持久的虛擬關系,比如擁有和裝飾虛擬空間、在不同的虛擬生態系統中爭奪稀缺的虛擬資源。但虛擬現實發展目前面臨兩大障礙:1)缺乏硬件.
1900/1/1 0:00:00最近,NFT這個詞經常出現在各大網站和文章中出現。無論是NFT交易平臺OpenSea在谷歌的搜索量創下歷史新高,且其8月份銷售額高達8.3億美元,還是寶馬、LV、保時捷等世界知名品牌、胡彥斌、蘇.
1900/1/1 0:00:00在過去的一周里,陸續發生了幾起安全事件,包括PolyNetwork和DaoMaker等造成大額資金損失的安全事件。雖然后續損失資金大部分或者全部被追回,但仍然給DeFi的安全敲響了警鐘.
1900/1/1 0:00:00