我們從跑路的StableMagnet 項目方把錢奪回來了。
撰文:埃里克
每週對DeFi 世界說是不太平的一周,Poly Network、去中心化年金協議Punk Protocol、BSC 上對外協議Neko、NEAR 生態的去中心化轉向參考。損失的金額從數百萬到數億。其中部分攻擊者還還了,很容易讓人不快樂法外。
磚珊瑚從保利網絡盜取6 億美元資產的黑客攻擊,這個世界上沒有完美的系統,只有我們還沒有發現的漏洞。道路上的陣痛,那麼就以侵吞資產為目的項目就是赤裸裸的裸體犯罪了。
BSC上的穩定幣DeFi項目——StableMagnet
故事的開始要從幣安智能鏈(BSC)上的一個DeFi 項目StableMagnet 說起。
今天在德飛坊的性能上升大熱的情況下以太坊引發外溢,而靠背幣安的BSC 結合上佳的用戶基礎以及鏈上體驗異軍出發,在以太坊擴容網絡尚未完成的階段迅速搶占市場。 。不過B的火爆也吸引了大量投機項目方,他們部署了攜帶性土獎勵的DeFi項目吸引用戶參與,也就是選擇SC「狗」。 ,希望就是利用早期的高收割收一些賭徒,將項目幣拉高後投運給項目方的代完成割割。
可以說,這類項目風險發生,你知道項目方會在什麼時候砸,還有其他人,有預謀地利用掌握的漏洞偷走投資者的資產並追踪銷聲踪跡踪跡。
而StableMagnet 就是後來。
據本次項目的這描述,StableMagnet在BSC Daily等宣傳平台中被提及,吸引了一小部分BSC用戶的關注,但並沒有在普通社區流行的水花,在大多數人看來大概是普通的“土狗”項目中的一個。不過社區裡的代碼審查能力的成員在檢查了該項目的代碼後得出了一個結論: 項目的代碼沒有明顯的項目漏洞,或者至少說即使有一方存在主題也無法順利從合約中轉走資產。
由於認為其代碼安全並且APY頗高,在小範圍的科學家群體中,這個項目傳播來了。為進一步保障項目安全,項目方甚至主動設置了契約時間鎖。看項目方採取了更進一步的安全措施,審查過合同的專業用戶們要親自動手進行了詳細的經事,導致這個名不見經傳的項目 TVL 在明天的時間裡就從幾百萬美元上升到2400 美元。 但大家不知道,這個項目照片「沒有問題」的外表,正準備著著比賽。
最大的危險潛藏在最隱蔽的角落
自己項目的代碼邏輯沒有漏洞,但引發問題卻出在項目的智能合約中,而在智能合約調用的 功能庫 。項目方在 應用函數庫SwapUtils 庫 中住宅後門,因此,因為項目製造的智能合約代碼是否安全、是否有時間鎖,項目方都可以直接利用功能的後門資產。 多普勒 和 穩定Gaj 兩個DeFi 項目也基於相同的,他們自帶的函數庫SwapUtils 庫協議筆記本驗證,穩定的磁鐵事件也暴露了這兩個項目的安全風險。
RugDoc 針對StableMagnet 事件的漫畫
過去的攻擊黑客事件事件大利用了項目實踐的智能邏輯邏輯漏洞,這導致了可能對功能庫的查驗工具。而驗證的原生函數庫是可以被動手腳的。項目方正是利用了這一點。 。
巴黎 6月23日的凌晨 ,本次事件正式拉開帷幕。
在東八的大多數人還在熟睡中,項目方通過知情的機會利用了事件的機會。 2400萬美元 的,項目網站、推特、電報群全部關閉或解散。
項目方實施行動後10 多分鐘,Ogle 等社區成員已經發現了異常,開始追踪攻擊地址,被盜資產轉移入幣安活動後第一時間進行了,但幣安實時運動行動。項目方最後還是成功將戴從一中轉出。
值得一提的是,部分知名人士以及DeFi 安全媒體曾在攻擊前收到 匿名信息 ,稱SMAG(StableMagnet)項目可能跑路,但由於無法確認警告者的身份與信息真實性,加之項目核心的智能合約並沒有問題,謹慎考慮,收到警告的人第一時間在社區中公開這條信息。
社區的反擊
通常在項目被之後,項目方會聯合投資方共同出力尋找攻擊或者對損失進行賠償。但StableMagnet 的問題是 項目方監守自盜 。為了自救,社區成員決定盡一切可能尋找並定位項目方。於是,一場浩浩蕩蕩的打擊犯罪的行動開始了。
定位項目方
想要追回資產首先要找到人。據成員社區消息,通過技術手段搜查項目方消息的核心工作主要由一位 DeFi領域的KOL Ogle以及其團隊完成 ,而這個人也是該事件的一側。
在交流過程中,Ogle 分享了他們獲得的一種特殊的方式—— 代碼習慣 社區成員表示,每個人都知道地有個人習慣,而這些習慣會在代碼的方式中表現地非常明顯,寫代碼堪比一個人的“字跡”。 O很在Github 上通過StableMagnet 代碼中部分特徵找到了關聯項目,並通過分析這些關聯項目最終確定了項目方是香港的一個團隊。調查組綜合其他線索,繼而發現項目成員註冊的公司,並通過與公司關聯的公開信息成功尋找到其他相關成員。
方程, 幣安 的調查調查此也啟發了項目方可能在香港。但也可以進行溝通。團隊成員無視所有的聯繫方式,被拒絕溝通與還款。
屆時,社區中將出現希望直接發布項目官方身份的聲音。除了核心社區調查組掌握他們的個人信息,社區中也有爭取“擁有權限”的獨立匿名組織表示已掌握他們的個人信息,他們希望直接發布項目個人信息,但被Ogle 勸阻。
此後,核心社區項目調查組進一步公開發動與奧格爾取得聯繫,一方面是為了促進他們盡快補充,一方面是為了避免他們的個人信息被拒絕的獨立知情同意/組織造成無法應對的後果。但項目方成員不接受這個「善意」。
錯失最佳時機,項目方潛逃
由於項目在幣安社區留社區,香港方面希望安相關事件,但由於一些原因,所以香港警方認為,案但工人是因為程序問題,香港警察表演採信提供的所有報導。香港警方與幣安的聯絡管道。而而成員沒有執法權,即使他們確定項目方身份,也無法控制他們,因此只有社區警察已經能夠實施調查。兒童一時間陷入僵局。
雖然他們是團隊成員爭取到了壓力,也有一群人已經定位了身份,那麼他們就在自己的位置上不知道之前的身份,於是促使他們逃到了英國。因為時間的原因。一起發生了一起,一起一場新的“圍剿”。
抓捕歸案
在大家為香港的進展著急時,調查組發現了項目方團隊逃往英國的行最新成員。這也成為了事件的轉機。組加入跟進,而英國警察根據社區提交的信息,開始了對逃往英國的項目方成員的調查。事件發展到這一步,項目方團隊成員窩藏在英國哪裡,進入了社區調查組與英國警察面臨的新問題。
根據英國的防疫政策,所有英國的飲食都被要求進行10 天的自我隔離。壞消息是,孤立調查成員與英國警方逮捕這個故事,團隊成員的時期很可能即將結束。
Ogle 社區調查組對團隊成員可能以及擁有的地址進行了推測,並進行了搜索方式。最終獲得英國警察部隊的隊員進行情報搜索。電子設備,存儲中的這些投資者被盜的資產。
至此,這 她月餘 , 涉及多個國家或地區 , 涉案金額高達2400萬美元 的DeFi 詐騙總案算取得了重大進展。
挑逗與還擊
但一切都結束了。 退還的資產總額約2250 萬美元 ,但尋找有部分資產遺失了。此外,還有其他部分成員行踪不明。更奇葩的是就在身邊的人可以追回的,部分價值萬美元的資產時候有被抓走。到了的資產,有搶手的資產,社區就是在逃項目方所所為,如果事實如此,這對社區與警方的挑撥異象就對了。
在挑挑揀揀下,堅持不懈的獨立知情組織終於忍無可忍,選擇直接公開曝光了他們的身份,並聲稱若若在逃項目方長期拒絕溝通,將公佈他們更多的個人信息。而以奧格為首的核心調查組也一直在努力取得與項目方聯繫,以追回全部資產並安撫社區。
嫌人照片
退還款
退款是所有一路最有趣的問題。 成功找回了91% 的被盜資產 ,所有資產將被退還到全球。值得一提的是,由於部分地區的用戶不接受法幣退款,在社區成員的努力與建言下,英國警方採納了 鏈上退款 ,而並收取款項。
英國警方發布的新聞
需要通過打款驗證資金的歸屬權,並且可以提交一些當地的立案信息,經過驗證後才能進行退款。執行難度高,但已經為受波及的投資者提供了極大的便利,而適合追回的10%的追求,現在社區仍在努力與英國和國際警察進行追查,全部歸還好運氣,以及全力追踪在逃項目方成員。
英國警察給社區成員的郵件
目前,英國警方也報告到了中國地區的路途連連,案案很困難,他們會考慮進一步優化對中國地區沿途的開採流程。
剛到
在社區成員並了解了社區的經過之後可以發現的,所有的一切都能夠告破, 村民社區成員的努力以及與警察的通力合作 這工人也可以成為一個良好的開端,並為未來類似的事件提供了一個典型的案例參考。
在未來的最後,當被問到如何避免事件發生時,Ogle 在 CeDeFi領域 ,未來工人可以對契約的實施實施KYC 要求,並且由DAO 或一個組織治理。當然很多人會認為這經典去中心,這個尋找興趣愛好的方式也不會被發現,但可能會受傳統金融的選擇願意並且不會吸引他們想要的。如果不去觀看事件中心化,建議不要取回波衝礦頭,可以等待3- 6週再行參與,雖然拿不到手的超額收益,但也能避免一定的風險。
此外還建議投資者在項目的選擇上選擇安全性項目的項目,例如 實名的團隊、在代碼可驗證的、Launchpad 上 (例如SAFERmoon) 發行的、以及經過可靠的安全公司審計的項目等。
這一次,作惡者皆有其後果,他作惡者表示這深度。也是調查組調查分析初查本次事件的本次事件,即把最後事件當做一次示範,來警告所有相關社區的一小部分心鏈匿名去作惡的人: 「你可能躲在電腦屏幕下,也會在現實世界為自己的行為承擔」。
注:如果你是StableMagnet 事件的同步,可以加入電報群@StableMagnet 或聯繫Ogle(推特:@Cryptolge)獲取退款的相關信息及進展。