StableMagnet Finance2700萬美元跑路案告破，警方發起DeFi史上首次鏈上退款

Poly Network 被攻擊之後的 52 個小時內，在安全公司、白帽黑客、交易平台等多方的聯手下，黑客悉數歸還了被轉移的資產。

幾乎是同一時間，另一起發生於 6 月 23 日 BSC 網絡上的穩定幣兌換自動做市項目 StableMagnet Finance（SMAG）跑路案宣告偵破，英國警方將啟動鏈上退款。用戶損失金額超過 2700 萬美元，英國警方追回了約 2225 萬美元資產。

在英國警方的通報中，我們得以窺探到，詐騙犯是如何被發現並追回大部分資產。英國曼徹斯特警方在接到相關情報之後，確認了犯罪嫌疑人可能在曼徹斯特天牛後對其進行了追蹤，並找到了一個包含被盜資產的 U 盤，其中有價值 950 萬美元加密貨幣。幾天後，警方又在一個在線保險箱中發現了價值 1270 萬美元加密貨幣。

在追回了大部分加密貨幣后，英國警方宣布啟動鏈上退款。作為 DeFi 攻擊史上首次由警方發起的鏈上退款事件，警方需要對申領人進行 KYC，驗證其本人真實身份以及錢包所有權。並且受害人需要向警方報案，並取得報案回執單以備查驗。在經過校驗后，受害人可獲得 90% 的 USDT-ERC20 被盜資產。律動 BlockBeats 和該事件的受害人 L 以及來自 BSC 社區 KOL 並為警方提供了線索的 Ogle 聊了聊。

律動 BlockBeat：印象中千萬美金級別以上的 DeFi 攻擊事件，比如 dForce 上的 lendf.me 協議與 Poly Network，從案發到階段性解決基本在數天內完成，StableMagnet 卻接近 2 個月。我看您說這個團隊的社會信息很早就被公布了，為什麼警方沒有按照信息去執行？

L：SMAG 案件的解決在 DeFi 攻擊事件中可謂曠日持久，從被盜到警方找回資產一共差不多四周。社區調查組付出了遠超其他同類案件的努力。SMAG 案件與其他兩個案件有諸多不同，導致 SMAG 事件解決遠比其他 DeFi 攻擊事件棘手。

首先，雖然上述兩個案件都是外部攻擊項目方，但是 SMAG 是項目方本身為了 rugpull 而精心設計的騙局。在前兩個案件中，項目方作為被攻擊方，其團隊以及背後的機構作為最大的受害者之一，有強大意願與執行力。從被攻擊之初就強力推動事件解決，黑客通常也更畏懼有組織的中心化推手，因此在局面出現變化時更容易妥協。而 SMAG 是一個無主要機構參與的匿名項目方，參與者都是在社區中自發前來挖礦的大眾。當項目方實施行動后，他們認為這些分散參與者無法組織對他們構成威脅的有效調查，因此從一開始他們並不畏懼。

在去中心化世界，資本與權力同樣非常重要。O3 與 Poly Network 是行業知名項目，眾多機構與圈內頭部權力人士參與。案發後，大型機構與頭部用戶在行業中一呼百應、得到業內包括 Tether、USDC 等各大項目以及交易平台的快速響應，集百家之力迅速震懾黑客，讓黑客迅速屈服，SMAG 事件是沒有機構光環與權力支持下的去中心化社區團結自救、與頑固騙子開展的對抗。他們雖然在案發後十幾分鐘便迅速聯絡交易平台，但涉案交易平台超過六小時都未進行響應，甚至有上千萬美金的資產成功通過交易平台跨鏈轉移，待遇與 Poly 事件天差地別。條件如此懸殊，SMAG 騙子一開始也滿心輕蔑。

其次，騙子首領的性格與風險偏好有顯著不同，我不是特別了解 lendf.me，但我跟進了 Poly 黑客事件。Poly Network 黑客大概率是單獨作案，可能是個技術過人且才華橫溢的年輕人，沒準還在讀書。他非常自信、但並不瘋狂。他理智、膽小，對風險有清晰的認知。當他的某些線索被掌握之後，即便對其自身還未構成威脅，他便開始害怕。他不像他說的那樣不在乎錢，而是因為外界壓力和相關線索被持續挖掘而願意妥協，但他並不願意展現出屈服的態度，於是通過戲劇化又歇斯底里的表現，他試圖讓自己想變成「白帽」、救世主，以掩蓋他最初卑鄙的動機，從而得以在聚光燈與掌聲中全身而退。與 Poly 黑客截然相反，SMAG 這一伙人給我們的感覺是極端頑固，極度自信，甚至可謂傲慢，他們堅信自己無論如何都不會有後果，相信我們找不到證據也找不到他們。他們拒絕任何形式的屈服，即便身份暴露、即便社區與匿名組織多次直接聯繫項目方成員、發布警告，都無動於衷。

在騙子冥頑不靈並拒絕溝通的情況下，只有找到他們本人才能解決問題，我們寄希望於警方。社區掌握到項目方人士信息后，立刻傳遞給了香港警方。香港警方一開始對待該事件的態度是不緊不慢，收到線索他們也不打算採信社區的線索，而執着從 Binance 獲取的證據。然而當時香港警方與 Binance 出現一些溝通困難，於是香港方面沒有任何進展，即便香港在案發一周內已實現立案。從那時起，局面陷入了僵局。直到一條新線索指示項目方成員已從香港逃往英國。隨後更多的信息挖掘，讓他們在英國的地理位置越發清晰。

英國匿名者已在當地報案並且警方迅速立案，社區很快把項目方成員與他們的位置信息通知了英國警方。英國警方非常重視本次事件，案件規格很高，警方也很高效，他們根據線索在幾天內便直接抓獲了兩個相關成員，並繳獲大量加密的電子設備，此時距離案發已經超過兩周。在控制這兩位相關人員後接下來幾天，被捕人士終於在警方的壓力下屈服，分兩次歸還了他們存放在 Tornado 中的以太坊。但配合警方的只有被捕的成員，其他在英國的項目成員拒不露面，甚至在歸還資產時仍與警方玩小把戲，視權威於無物。此時距離案發已經三周。

Ogle：我同意 L 的觀點。我認為，由於我們無法控制的幕後原因，對這些人的追捕有些遲緩。我們曾試圖在被攻擊 24 小時內與騙子取得聯繫。我們最開始希望以一種去中心的方式來解決問題。社區自行解決是最合適的方式，而非通過中心化的警方。

不過，騙子不願意妥協，他們無視任何消息。與此同時，有用戶向 Binance 和香港警方發送了該案的信息。但是 Binance 和香港警方之間的溝通出現了障礙，並陷入了僵局。隨後，騙子從香港離開並來到英國。這可能是騙子最愚蠢的決定了，他們傲慢得令人費解。目前，他們正在被大量的團隊最終。自首才是最聰明的做法。不然，他們可能會付出更高的代價。

律動 BlockBeat： Ogle 說，O3 屬於黑客找到漏洞，而 SMAG 是純粹的詐騙，在 SMAG 的調查中，有哪些關鍵因素導致詐騙團隊暴露了信息?

L：沒有完美的犯罪。由 Ogle 為核心的社區調查組與數個匿名組織在項目跑路后，對騙子留下的各種痕迹做了大量的信息挖掘，包括且不限於錢包地址、轉賬記錄、合約代碼等等。我們無法向公眾說明細節，但我們可以通過一些例子說明。比如我們發現項目方成員犯下了一些關鍵錯誤，比如他們重複使用了他們在過往製作的 DeFi 項目中的代碼，因此暴露他們曾經組織了其他項目，他們的 Github 隨後也因此暴露，通過 Github 找到了重要的線索，這只是一個例子。隨後順着這些信息，更多的個人信息被暴露了出來。當拼圖一塊接一塊拼湊起來時，全貌也逐漸呈現。通過系統的調查分析與社會工程（social engineering），他們的個人信息、社會關係被完成地呈現出來。

律動 BlockBeat： 在 DeFi 攻擊歷史上看，這是首次警方鏈上退款，您和其他報案人是如何說服警方啟動鏈上退款的？警方會如何判斷收款人身份呢? 退款流程是怎樣的? 需要 KYC 嗎？

L：這是 DeFi 攻擊歷史上首次警方參與偵破並且由警方推動鏈上退款的項目。而且發起的警方是英國警方，眾所周知英國是傳統金融與傳統秩序的橋頭堡，中心化世界的最大勢力之一。此舉在 DeFi 與中心化世界都有里程碑意義。

對英國警方來說，最通用的方案是把數字資產變賣成法幣，通過法幣退款。但在本次事件中，有大量的亞洲地區受害者，尤其是中國受害者。如果通過法幣退款，他們將面臨巨大阻力。Ogle 與英國匿名者共同向警方建言，請求警方本着國際人道主義精神，為全球尤其是中國受害者提供便利。英國警方也非常開放地聽取社區建議，並最終採取了鏈上退款的方式，實現了這個 DeFi 歷史上的重大突破。

警方需要對申領人進行 KYC，驗證其本人真實身份以及錢包所有權。錢包所有權驗證是讓申領人發送指定數量的某個代幣到特定地址，從而驗證所有權。另外，還要求申領人向警方（不限地區）報案，並取得報案回執，並且提供警官聯繫方式以供查驗。在完成以上校驗后，警方將以 USDT-ERC20 退還 90% 的被盜資產給申領人。

律動 BlockBeat： O3 和 SMAG 本質不同，屬於兩種類型的資產損失，您認為投資者應該如何挑選參與 DeFi 項目呢？

L：O3 是跨鏈流動性項目，SMAG 是 BSC 穩定幣兌換項目。兩個項目都是穩定幣 LP 池遭受損失，用戶損失的都是穩定幣。用戶挑選 DeFi 項目，最重要是關注合約安全。理想狀態下，用戶最好有審計合約的能力。然而這對多數人來說都並不現實，他們並沒有這種專業能力。在這種狀況下，用戶可以考慮做以下措施，雖然無法消除風險，但至少可以降低風險：

·首先是避免參與名不見經傳的匿名項目，也就是所謂土狗。

·不要盲目沖頭礦，沒有先人探路，自己很可能成為開路先烈。

·可以關注在社區中已經有一定關注熱度與較大 TVL，並且穩定運行一段時間的項目。

·如果項目有知名機構參與，也是一個加分指標。

·分散投資，不要把你的資產集中在同一個項目中，不管其收益有多高。

·寧缺毋濫，保護本金。

Ogle：用戶必須做的一件事是在參與項目之後取消授權。當你授權交易許可之後，項目合約便可以以任意方式使用你的代幣。在 SMAG 事件中，有數百萬美元是直接從受害者錢包中提走的，因為用戶沒有取消授權。

同時，盡量不要給項目無限制金額的授權。如果之前這麼做了，建議使用類似 DeBank 的工具取消授權。

還有個同樣重要的建議，不要在 DeFi 世界中單打獨鬥。加入微信、電報、Discord 等社區，向社區用戶尋求幫助和建議，避免陷入困境。

律動 BlockBeat： 我看有的投資者表示已經對去中心化失望，您如何看待 DeFi 領域不斷地資產損失事件，會對 DeFi 失去信心嗎？

L：我一直認為不存在絕對的中心化與絕對的去中心化。中心化與去中心化是對立統一，共存而互相制衡，類似中國的」陰陽」。目前去中心化世界的發展仍處於相當早期，有太多的課題有待探索完善，如果盲目推崇去中心化極端主義以及徹底的」代碼即法律」，與在一個一窮二白的國家中盲目推行共產主義無異，不會帶來真正的發展與未來。

我是一個長期主義者，學生時代曾系統學習過科技發展史與理論。雖然 DeFi 不斷出現各種事件，但我仍對 DeFi 未來充滿信心。任何事物的早期的發展都是無序和混亂的，這是再正常不過的現象。世界是螺旋式上升發展，DeFi 也是如此。無數參與者在災難中反思，在失敗中改良，在挫折中優化，最終教育所有的參與者，為 DeFi 帶來新的進步。

Ogle：我認同 L 的說法。