自述：我们如何与警方合作破StableMagnet大案

几乎与此同时，今年发生的两起重大DeFi安全事故有了最终答案。北京时间8月12日，经过大约52个小时的Poly Network事故，黑客最终选择归还所有资产；另一个BSC：稳定磁铁箱（以下简称Smag），于6月23日开始，持续了一个多月。英国警方还追回了大部分资产，并发布了官方新闻稿。同样的DeFi安全事件和同样的大团圆结局不同于Poly Network案中的大机构，后者对行业做出了回应，聚集了数百人的努力，让黑客迅速屈服。Smag事件讲述了一个没有机构支持的去中心化社区如何团结起来拯救自己，与顽固的黑客进行激烈而长期的对抗，并最终获胜的故事。

它也是一个没有机构支持的去中心化社区，实现了多次“第一次”。首次推动与集中力量的全面合作，在警方的参与下破获大规模DeFi案件。警方在DeFi袭击事件的历史上第一次在链条上推动退款。众所周知，英国是传统金融和传统秩序的桥头堡，也是世界上最大的力量之一。这是DeFi和中央集权世界的里程碑。

最近，由于Poly Network案的影响，DeFi安全已成为农民和加密界广泛讨论的现实。这是加密社区合作成功破解和恢复数字资产的DeFi安全案例的一个重要里程碑。

通过对Smag案件证人的访谈，本案将为大家进行全方位的调查。

受访者在区块链行业有多年经验，是DeFi的老农，拥有广泛的加密社区联系人网络，是本案的重要线人之一。

接下来，我将从受访者的角度出发。在不改变事件原貌的情况下，结合事件相关报道，对部分访谈内容进行了文字修改（以下“我”/“我们”为加密社区科学家的受访者/朋友）

事故发生前：

6月20日（事故发生前三天），我每天通过BSC解决BSC上方的稳定磁铁矿池。当时，稳定币的年化率高达数千和数百，非常有吸引力。该项目最初启动时，并未引起太多关注。大多数普通投资者不理解该准则，并将其视为一个新的本地狗项目，大多数小去中心化基金也参与其中。与普通人不同，老玩家和科学家通过分析合同安全性来确定是否值得冒险。作为DeFi的一名老农，我一直保持着我一贯的习惯，研究了相关数据，并与圈内几位科学家朋友交换了意见。我们认为它是安全的。由于其超高apy，我们选择参与重职位。虽然该项目并不为公众所知，但该项目已悄悄地在科学家中传播，TLV在两天内从数百万U增加到2400万U。

事故前“警报”：

在总数发生前几个小时，科学家和加密社区的一些成员收到匿名消息来源的来信，暗示Smag将采取行动。我们没有证据来证实信中所说的话，科学家在“进入”之前研究了密码，但什么也没发生。如果我们公开警告社区并指责该项目是错误的，它很可能会引起强烈的FUD，并可能最终伤害这个无辜的项目。这封匿名信使我们进退两难。虽然我们开始有一些怀疑，但我们在这件事上没有发表太多的声明。这一段令人困惑。Rekt是加密社区的一些成员收到的匿名信之一。尽管rekt事先看到了它，但它选择不发表它。大多数收件人没有看到它。

事故发生：

亚洲时间6月23日凌晨，stable magnet finance利用大多数投资者的睡眠时间发动攻击，偷走了2400万美元用户的稳定币，逃跑并抢劫了用户的钱包。该项目的网站、电报集团和推特都被关闭和解散。项目发生后很快就被社区认可，随机社区立即向迁安汇报情况。但它并没有像保利事件那样迅速受到关注。黑客拥有数千万美元的资产，甚至通过货币安全转移出去。

权利保护：

超过1000个钱包在Smag上拥有资产。事故发生后不久，中英文项目权利组织迅速成立。起初，我不知所措，然后惊慌失措。尽管社区在事件发生十多分钟后迅速联系了交易所，但交易所在六个多小时内没有做出回应，甚至数千万美元的资产也通过交易所成功地在整个链条上转移（处理方式与保利事件大不相同）。虽然联交所未能阻止数千万美元资产外流，但联交所也迅速展开调查，并在事后总结线索。

尽管该项目的投资者没有一个拥有广泛社会资源和联系的总机构，但他们没有得到与polynetwork事件相同的响应，也没有得到行业各方的迅速和广泛关注和支持。但加密社区并没有放弃。别忘了有许多科学家参与了这个项目。社区和说谎者之间的决斗也将正式开始。自发成立了以ogle为核心的社区调查小组，开始对黑客留下的所有痕迹和线索进行社区调查。

集中力量重新开始：

虽然我们没有停止袭击，逃跑的消息也不容易接受，但我们的一些怀疑确实与收到的匿名信有关。我们得出结论，techrate审计并不完全可靠。这封匿名信再次进入了每个人的视线，科学家和安全专家开始重新整理这个项目。

该漏洞被隐藏在一个未经验证的库中，我们认为该库最初是经过验证的，但当时没有人验证它。

地毯拉动从该交易开始：

最初被盗的2220万美元稳定币是通过未经验证的源代码从stablemagnet 3pool中提取的，随后金额增加到2700万美元，并且还在增加。

安全公司rugdoc在推特上表示，ETHersacn和bscscan资源管理器不验证链接库的源代码，这允许用户部署与源代码完全不同的库。因此，资源管理器实际上没有检查Smag的swaputils库，并且没有警告源代码未经验证。

包含实际漏洞的Swaputils库：

0xE25d05777BB4bD0FD0Ca1297C434e612803eaA9a

未经验证的swaputil库不仅包含可以提取所有事务对的代码，还包含可以将更多代币传输给所有批准Smag的人的代码。

Dopple和StableAJ基于相同的代码，此类协议仍在运行，其Swaputil库也未经验证。

逃生路线：

在我们了解了黑客的秘密后，他们的逃跑路线也非常清晰。被盗资金被分配到多个地址并存入货币安全系统，以切换到以太坊网络，然后快速提取，将集中的USDT交换为去中心化的Dai。

我们还在考虑“存款安全”链接能否阻止黑客，但他们的逃跑计划已经在多个地址顺利实施。这是其中之一：

Busd发送到硬币安全的热钱包：

0x2bac04457e5de654cf1600b803e714c2c3fb96d7

以太坊网络上收到的Usdt：

0xDF5B180c0734fC448BE30B7FF2c5bFc262bDEF26

将USDT转换为Dai:0xe5daac909a3205f99d370bc2b32b1810a4912a07

在确定了攻击原理和黑客的资金流动轨迹后，社区开始调查所有相关地址，并开始了这个最难的益智游戏。

事件发生后的几天内，迁安有一个有效的线索，嫌疑犯可能在香港，并呼吁社区中的香港受害者和香港本地资源的人尽快联系迁安。社区线索也指向香港，匿名组织也曾试图联系可疑项目党员。随着社区调查的深入，基本可以确定该人群为累犯。无数拼图游戏的关键部分在早期慢慢拼凑起来，身份信息很快就确定了（身份确定的具体细节没有透露，但可以透露黑客很幼稚，留下了很多明显的痕迹）。不幸的是，尽管项目方的成员知道他们已经被曝光，但他们仍然保持沉默，拒绝沟通，并无视来自多个组织的许多警告。

当黑客拒绝沟通时，问题无法以去中心化的方式解决，受害者将希望寄托在警察身上。在香港受害者的努力下，香港也是第一个提起诉讼的地区。随后，英国和其他地区的受害者也提出了诉讼。项目参与者的个人信息很快就传到了香港警察局。然而，香港警方起初对这一事件持一种轻松的态度。他们不打算接受来自社区的线索，但坚持从相关交易所获得的证据。然而，当时香港警方与交易所之间存在一些沟通困难，因此香港没有取得进展。局势随后陷入僵局。

继续搜寻证据：

Smag事件后，匿名消息来源为我们提供了更多真实信息。匿名人士告诉我们，这个团体最近计划了几个项目，如地毯拉、月亮在这里代币和文月亮代币，并且遇到了类似的情况。他们还告诉了我们一个关键信息。Techrate审核了GitHub，但没有审核部署的合同。Techrate已经注意到这种地毯拉扯，但他们没有采取任何行动。这不是审计师第一次成为头号嫌疑犯。我们不应期望他们指出这些问题。

犯罪嫌疑人：

嫌疑人的形象与Poly Network黑客的形象完全不同。poly network黑客可能是一位技术高超、才华横溢的年轻人，他可能还在学习。他很自信，但不大胆。当他的一些线索被掌握后，他开始害怕。他不像他说的那样在乎钱，但由于外部压力和相关线索，他愿意妥协。然而，他不愿意表现出屈服的态度。因此，通过戏剧化和歇斯底里的表演，他试图让自己成为一个“白帽”和救世主，以掩盖他最初卑鄙的动机（受访者的个人猜测）。与poly黑客相反，Smag集团给我的感觉是他们极其顽固，拒绝以任何形式屈服。即使他们的身份被揭发，社区也多次发出警告，但在警方发现他们之前，他们都无动于衷。

在警方介入之前，社区成员和匿名组织（一些匿名组织甚至在第二天知道可疑项目党员的联系信息，最终被证实是正确的）已经完全掌握了嫌疑人的完整身份信息、社会关系和联系信息。他们是一群年轻人在香港，其中一些甚至没有毕业。班长主要从事BAST链、网络安全、计算机开发及相关工作，并经营香港一家公司。据了解，匿名组织已多次与嫌疑人联系。试图以去中心化的方式解决问题，但嫌疑人对此置之不理，拒绝沟通和退款。他们的行为与普通黑客表现出的行为大不相同。当一个黑客得到确切的真实身份信息和他的社会关系时，他们中的大多数人都会变得慌乱，但这群人不会。社区本来希望以去中心化的方式解决问题，给这些年轻人一条回归的路，但他们选择了最坏的选择。这意味着在一个中央集权的世界里，制裁即将到来。

意外的喜悦：

英国警方非常重视英国的报告。该案件在报告的第二天提交，并移交给严重案件小组，并与社区保持高度的顺利联系。同时，社区成员和匿名组织获得了关键线索，成功抓获了项目成员的下落，得知他们已经逃离香港到英国，并相继分析了更具体的位置信息。消息很快被交给了英国警方。在大量有效信息的支持下，英国警方迅速采取行动，成功逮捕了项目方成员。

警方行动：

本案操作代码为op gabbro，负责曼彻斯特警方互联网犯罪科、经济犯罪科、反洗钱和金融调查科的主要犯罪团队。英国警方行动迅速，在一天内立案，在一周内逮捕并追回2220万美元的资产。在此期间，他们一直保持开放态度，听取加密社区的意见。

处理此案的一些细节：

来自不同国家和地区的受害者将其所有资金甚至个人存款存入BSC:stablemagnet地雷池。经营矿坑的骗子等到存入大量资金后才逃跑，并将被盗资金转入其账户。然而，对于骗子来说，不幸的是，他们在现实中的行踪并非无影无踪。

加密社区的核心科学家通过高科技追踪到两名嫌疑人的实际下落。他们将从香港、中国飞往英国，在曼彻斯特短暂停留。当英国警方收到信息后，他们迅速追踪并率先发现了被盗的以太坊基金，其中包含950万美元。

与此同时，一名23岁男子和一名25岁女子被捕，并因涉嫌欺诈和洗钱而接受调查。出于减刑等法律目的，被捕嫌疑人选择与警方合作。几天后，警方又发现了1270万美元。最后，曼彻斯特警方经济犯罪部门的专家官员从tornado（警方新闻稿）中追回了约2220万美元的加密货币资产；

案件仍在审理中：

目前仍有三名主要嫌疑人在稳定磁铁团队中，他们已经被加密社区曝光：香港理工大学信息安全专业的毕业生；中国香港大学预科计算机毕业生；香港浸会大学英语专业学生。个别成员的简历甚至被曝光。香港警方将继续采取行动逮捕他。社区也有关于其他成员的信息，但没有披露。

虽然大部分资产已被追回，但一些资产尚未找到。据了解，嫌疑人说他的一些资产已经丢失。社区对此高度怀疑，因此社区调查不会停止。

资产退款：

英国警方已开始退款程序。在加密社区的努力下，警方在通过在线退款（USDT-erc20）向世界各地的受害者退款方面取得了突破性进展。世界各地的受害者可以先联系邮箱：[email protected]在获得必要的信息和指导后，向当地警方报案，

英国警方公告:

https://www.gmp.police.uk/news/greater-manchester/news/news/2021/august/millions-waiting-to-be-claimed-by-rightful-owners-as-gmp-rumble-international-crypto-currency-scam/?__ cf_uchl_uuu验证码uucha_uuutk_uuu=pmd_21fef4ab284b1245128d4569375a2ee182dc02c2-1628844234-0-gqNtZGzNBDijcnBszQoi

合格的内地受害者可前往香港报案，香港警方将接受此案。

注：事件引起注意后，电报集团对Smag受害者进行了欺诈。如果欺诈者谎称受害人处理退款并实施欺诈，请不要轻信。

感想：资产的成功追回得益于对开放社区中许多个人和加密组织进行为期三周的马拉松式大规模调查，特别是ogle的团队，英国匿名人士的参与，警方的快速反应，去中心化的社区和集中力量之间的充分合作。

资本和权力在去中心化化的世界中仍然发挥着非常重要的作用。O3和Poly Network是业内知名的项目，有许多机构和业内领先机构参与。事件发生后，大机构和权力机构在行业内回响，行业内重大项目（包括tETHer、usdc和交易所）迅速响应，并聚集数百家公司的力量，迅速阻止黑客，让黑客迅速屈服。

Smag事件是一个去中心化的社区，没有机构光环和力量的支持，无法团结和拯救自己，打击顽固的黑客。虽然他们在事件发生十多分钟后迅速与交易所取得联系，但相关交易所在六个多小时内没有作出回应，甚至数千万美元的资产也通过交易所成功地跨链转移，这与保利事件大不相同。

Ogle还分享了该案和poly network的观点：poly黑客似乎是一个拥有高超技能的人，他利用了该项目的漏洞，而Smag从一开始就是一个精心设计的地毯拉犯罪项目；从攻击者的角度来看，我不知道保利的攻击者是否是一支球队，但他的形式与斯马格完全不同。Smag是一种混合了傲慢的团队犯罪。

参考资料：https://rekt.news/stablemagnet-rekt/

https://www.gmp.police.uk/news/greater-manchester/news/news/2021/august/millions-waiting-to-be-claimed-by-rightful-owners-as-gmp-rumble-international-crypto-currency-scam/?__ cf_uchl_uuu验证码uucha_uuutk_uuu=pmd_21fef4ab284b1245128d4569375a2ee182dc02c2-1628844234-0-gqNtZGzNBDijcnBszQoi

以及受访者提供的相关资料