作者:Eric,链闻
上周对DeFi世界来说是不太平的一周,?PolyNetwork、去中心化年金协议PunkProtocol、BSC上借贷协议Neko、NEAR生态的去中心化交易所Ref.Finance等等项目先后遭到黑客攻击,损失的金额从数百万到数亿不等。其中部分攻击者返还了资金,仍有一些黑客至今逍遥法外。
或许正如从PolyNetwork盗取6亿美元资产的黑客所言,这个世界上没有完美的系统,只有我们还没有发现的漏洞。如果说去中心化的项目因为代码逻辑漏洞被黑客攻击还能算是发展道路上的阵痛,那么本身就是以侵吞资产为目的项目就是赤裸裸的犯罪了。
BSC上的稳定币DeFi项目——StableMagnet
故事的开始要从币安智能链?上的一个DeFi项目StableMagnet说起。
今年上半年以太坊的性能瓶颈在DeFi大热的情况下引发流量外溢,而背靠币安的BSC凭借上佳的用户基础以及链上体验异军突起,在以太坊扩容网络尚未完备的阶段迅速抢占市场。不过BSC的火爆也吸引了大量投机项目方,他们部署了带有流动性挖矿奖励的DeFi项目吸引用户参与,也就是所谓「土狗」。这些「土狗」本也就没有打算长期运营,就是希望利用早期的高收益率吸引一些徒,将项目币价拉高后抛出手中预留给项目方的代币完成收割。
可以说,这类项目风险较高,你永远不知道项目方会在什么时候砸盘,更有甚者,有预谋地利用预留的漏洞偷走投资者的资产并从此销声匿迹。
火币钱包2.0全新上线,正式升级为全方位DeFi资产收益管理平台:据火币钱包官方消息,火币钱包2.0已正式升级上线,此次升级是为顺应 DeFi 潮流,为用户提供更加丰富、便捷的 DeFi 投资体验,助力火币钱包从资产存储和管理工具升级为全方位去中心化资产收益管理平台。
据了解,火币钱包2.0升级注重 UI 界面和用户体验的提升,旨在帮助更多用户轻松使用 DeFi 协议。钱包首页进行了全新改版,用户可以更快捷地使用DeFi ,打开钱包APP用户即可在钱包首页看到各个头部 DEX 入口,最热 DeFi 项目列表和各类资产数据;APY排行榜、各类原创教程,帮助用户第一时间捕捉投资机会,并轻松使用相应 DeFi 协议。
火币钱包是一款专业多币种轻钱包,于 2018 年 9 月 14 日正式上线,依托火币集团在区块链领域的技术积累和安全经验,从多重维度保障全球数字货币用户的资产安全,提供简单便捷、安全可靠的数字资产管理服务。[2020/9/29]
而StableMagnet就是后者。
据本次项目的受害者描述,StableMagnet在BSCDaily等宣传渠道中均被提及,吸引了一部分BSC用户的注意,但并没有在普通社群引起很大的水花,在多数人看来这大概是无数普通「土狗」项目中的一个。不过社区中有代码审查能力的成员在检查了该项目的代码后得出了一个结论:?这个项目的代码没有明显的漏洞,或者至少说即使项目方存在主观恶意也无法顺利从合约中转走资产。
ChainUP与币世界达成技术合作 将提供全方位WaaS服务:据官方消息,近日ChainUP宣布与币世界达成技术合作,将为币世界提供全方位的ChainUP WaaS联盟服务,包含主链开发接入、主链技术维护、主链资产托管等。
币世界为全球数字货币投资用户提供一站式资讯、实时行情、社区等综合投资服务,已成为中国、韩国用户量最大的产品。同时币世界与全球上百家项目方、交易所、钱包等区块链生态伙伴达成了战略合作,提供从孵化、募资、上市交易、品牌传播、行情展示及推荐、社群运营等综合全案服务。
ChainUP WaaS联盟是ChainUP依托累计3年时间所服务的300多家交易所经验,将底层资产托管和钱包封装而成的一套完整的服务。包含资产托管、节点服务等多种功能,通过开放钱包API、SDK等接口,帮助交易所、项目方、媒体等快速接入,实现云端托管资产。[2020/7/14]
由于认为其代码安全并且APY颇高,在小范围科学家群体中,这个项目流传开来。为进一步保障项目安全,项目方甚至主动设置了合约时间锁。看到项目方采取了进一步的安全措施,审查过合约的专业用户们更有自信地进行了更大金额的投入,导致这个名不见经传的项目的?TVL在短短几天的时间里就从几百万美元上升至2400万美元。?但大家不知道的是,这个项目看似「没有问题」的外表下,正酝酿着阴谋。
最大的危险潜藏在最隐蔽的角落
虽然项目的代码逻辑没有漏洞,但此次问题并不是出在项目本身的智能合约中,而在智能合约调用的?底层函数库?。项目方在?底层函数库SwapUtilsLibrary?中植入后门,因此不论项目本身的智能合约代码是否安全、是否有时间锁,项目方都可以直接利用底层函数的后门转移资产。由于?Dopple?和?StableGaj?两个DeFi项目也基于相同的协议开发,他们底层函数库SwapUtilsLibrary同样未经验证,StableMagnet事件也暴露了这两个项目的安全风险。
动态 | 中国联通结合区块链等技术实现全方位智慧工地管理:在复工复产大潮中,中国联通正发挥独特的创新技术优势,利用5G、大数据、云网融合、云计算等新技术,结合数据一点集中优势,推动重大项目复工复产。其中,中国联通与中国建筑集团打造的位于亦庄经济技术开发区的“5G智慧工地”项目。“5G智慧工地”项目实现了多项突破:运用“一通多能四驱动”架构,采用定制化5G网络,围绕人、机、料、法、环、测等施工管理,实行5G实名制双防监管系统、5G双360度空间立体实时监控系统、5G智慧信息岛、多维安全监控系、5G作业面监管系统统、5G+智慧图纸技术等大量功能,同时结合了人工智能、区块链、云计算加边缘计算、大数据等技术,开启多项创新应用,实现全方位智慧工地管理。(新华网)[2020/2/19]
RugDoc针对StableMagnet事件所作的漫画
过去的黑客攻击事件大都是利用了项目本身的智能合约逻辑漏洞,这导致反而容易忽视对底层函数库的查验。而未经验证的底层函数库是可以被动手脚的。项目方正是利用了这一点。
北京时间?6月23日的凌晨?,本次事件正式拉开帷幕。
在东八区的大多数投资者还在熟睡之际,项目方通过事先预留的漏洞转移出了价值?2400万美元?的资产,项目网站、推特、电报群全部关闭或解散。项目方甚至直接将盗取的部分BUSD以及USDT转入币安交易所并换成DAI之后转出。
动态 | 盛御珠宝进行全方位链改:10月22日,深圳星火链科技、深圳区块链信息湾和盛御珠宝联合发布了中国首个珠宝行业链改解决方案,从法律、技术、商业模式等维度帮助盛御珠宝进行全方位链改,同时消费者、合作伙伴、设计师等参与者都可以获得Token,享受盛御珠宝分红和其它权益服务。[2018/10/22]
项目方实施行动后10多分钟,Ogle等社区成员已经发现了异常,开始追踪攻击地址,也在被盗资产转移入币安交易所后在第一时间进行了举报,但币安并未即时采取行动。项目方最后还是成功将DAI从交易所中转出。
值得一提的是,部分知名社区成员以及DeFi安全媒体曾在攻击前收到?匿名信息?,称SMAG项目可能跑路,但由于无法确认警告者的身份与信息真实性,加之项目核心的智能合约本身并没有问题,出于谨慎考虑,收到警告的人并未第一时间在社区中公开这一信息。
社区的反击
通常在项目被攻击之后,项目方会联合投资方共同出力查找黑客或者对损失进行赔偿。但StableMagnet的问题是?项目方监守自盗?。为了自救,社区成员决定尽一切可能搜索并定位项目方。于是,一场浩浩荡荡的打击犯罪的行动开始了。
定位项目方
想要追回资产首先要找到人。据社区成员透露,负责通过技术手段搜查项目方踪迹的核心工作主要由一位?DeFi领域的KOLOgle以及其团队完成?,而此人也是该事件的受害者之一。
阿里音乐:研究AI与区块链技术,为音乐产业合法权益提供全方位:3月16日早,阿里音乐正式宣布,与独立音乐数字版权代理机构Merlin达成战略合作协议。阿里音乐表示将秉承“协作共赢”的互联网开放精神,研究AI和区块链技术,为独立音乐公司、音乐人及音乐作品的合法权益提供全方位保护,进一步规范行业和市场,推动音乐产业健康发展。[2018/3/16]
在交流过程中,Ogle分享了他们获取线索的一种特殊的方式——?代码习惯?。社区成员表示,每个写代码的人都不可避免地有个人习惯,而这些习惯会在代码的书写方式中体现地非常明显,这种痕迹堪比一个人的「字迹」。Ogle正是在Github上通过StableMagnet代码中某些特征找到了关联项目,并通过分析这些关联项目最终确定了项目方是香港的一个团队。调查组综合其他线索,继而发现项目成员注册的公司,并通过与公司关联的公开信息成功寻找到了其他相关成员。
与此同时,?币安?的调查线索也指向了项目方可能在香港。获知此消息,香港受害者很快向香港报案。与此同时,社区调查组织也排查获取到了项目方成员的联系方式,并试图进行沟通。但团队成员无视所有的联络,拒绝沟通与还款。
此时,社区中出现希望直接曝光项目方身份的声音。除了核心社区调查组掌握他们的个人信息,社区中也有声称「拥有权限」的独立匿名组织表示已掌握他们的个人信息,他们希望直接公布个人信息,但被Ogle劝阻。
此后,核心社区调查组无数次公开呼吁项目方与Ogle取得联系,一方面是推动尽快退款,另外一方面是避免他们的个人信息被失去耐心的独立匿名人士/组织暴露造成不可控的后果。但项目方成员并未接纳这一「善意」。
错失最佳时机,项目方潜逃
虽然香港已立案,但或许是因为程序问题,香港并未采信社区提供的种种证据。由于项目方在币安交易所留有痕迹,香港方面希望币安提供相关证据。但由于一些原因,香港与币安的沟通陷入停滞。而社区成员没有执法权,即使他们已经确定项目方身份,也无法控制他们,于是只能等待能够推进案件的调查。案件一时间陷入了僵局。
不过或许是团队成员感受到了压力,也了解到社区已经大致定位了他们的身份与位置,于是在案件停滞不前的阶段,仓促逃往了英国。但是等待这些团队嫌疑人的并不是由于时间的推移而案件平息的剧本,而是一场新的「围剿」。
抓捕归案
在大家为香港的进展着急时,社区调查组发现了项目方团队成员逃往英国的最新行踪。这也成为了事件的转机。在社区成员的举报下,英国很快立案,并且由重案组专门跟进,而英国根据社区提交的信息,启动了对逃往英国的项目方成员的调查。事情发展到这一步,项目方团队成员窝藏在英国何处,成为了社区调查组与英国面对的新问题。
根据英国的防疫政策,所有前往英国的旅客都被要求进行10天的自我隔离与申报。如果潜逃的项目方成员按规定自我隔离,理论上是可以搜集到足够线索追查到他们的确切地址。而坏消息是,截至调查成员与英国截获这个线索时,团队成员的隔离期很可能即将结束。
Ogle以及社区调查组对团队成员可能居留的地址进行了推测分析,并进行了地毯式搜索。最终获得情报的英国顺利抓获了项目方成员。被捕获的项目方成员随身携带了大量可疑的加密电子设备,这些设备中存储的就是投资者被盗的资产。在英国的努力下,被捕的项目方成员最终选择了配合调查,并同意将携带的赃款退回。
至此,这一?长达月余?,?涉及多个国家或地区?,?涉案金额高达2400万美元?的DeFi案总算取得了重大进展。
挑衅与还击
但事情并未完全结束。被捕的成员?退还的资产总计约2250万美元?,但声称有部分资产遗失了。此外,目前仍有部分成员行踪不明。更蹊跷的是就在被捕的成员打算退款的时候,有部分价值几十万美元的资产被转移。最终接收到的资产,正好有同等数量的资产缺失。社区怀疑是在逃的项目方成员所为,如果事实如此,这无异于是对社区与的挑衅。
在挑衅下,失去耐心的独立匿名组织终于忍无可忍,选择直接公开曝光了他们的身份,并声称若在逃项目方人士持续拒绝沟通,将公布他们更多个人信息。而以Ogle为首的核心调查组也一直在努力取得与项目方联系,以追回全部资产并安抚社区。
嫌疑人照片
退还赃款
退款是所有受害者最关心的问题。英国?成功找回了91%的被盗资产?,所有资产将被退还给全球受害者。值得一提的是,由于部分地区的用户并不方便接受法币退款,在社区成员的努力与建言下,英国采用了?链上退款?,而并非法币退款。
英国发布的新闻
受害者需要通过小额打款验证钱包的所属权,并且提交一些当地的立案信息以及KYC/AML信息,经过验证后即可进行退款。虽然对于国内的受害者而言这样的方案仍有一定执行难度,但这已经为受波及的投资者提供了尽可能大的便利,而对于仍未追回的10%资金,目前社区仍然在努力与英国和国际进行追查,争取全部资产归还受害者,以及全力追踪在逃项目方成员。
英国给社区成员的邮件
截至目前,英国也留意到中国地区的受害者连报案立案都很困难,他们也在考虑进一步优化对中国地区受害者的退款流程。
后续
在采访社区成员并了解了整个案件的经过后可以发现,StableMagnet案件之所以能够顺利告破,?得益于社区成员的努力以及与的通力合作?。这或许也可以成为一个良好的开端,并为未来类似的事件提供一个典型的案例参考。
在采访的最后,当被问到未来如何避免此类事件的发生时,Ogle表示,在?CeDeFi领域?,未来或许可以对合约的部署添加KYC要求,并且由一个DAO或一个组织治理。当然很多人会认为这不够去中心化,许多加密爱好者对此亦不感兴趣,但这个方式可能会受传统金融的参与者欢迎,并且吸引他们入场。这无关对错,只是看如何取舍。如果在完全去中心化的世界,为了避免遭遇此类事件,建议参与者不要盲目冲头矿,可以等待3-6周再行参与,虽然拿不到初期的超额收益,但也避免了一定风险。
此外还建议投资者在项目的选择上尽量选择安全性更强的项目,例如?实名的团队、在代码可验证的、Launchpad上??发行的、以及经过可靠的安全公司审计的项目等。
最后,Ogle表示,作恶皆有其后果,他会让作恶者付出代价。这也是社区调查组致力于彻底追查本次事件的初心,即把本次事件当做一次示范,来警示所有企图利用区块链匿名性去作恶的人:?「即便你躲在电脑屏幕后面,也会在现实世界为自己的行为承担后果」。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。