一向被认为相对安全的火币生态链Heco,终究还是出现了首个暴力“跑路”项目。
6月8日凌晨4点左右,上线不到12个小时的GainSwap项目方,突然卷走用户质押的近800万美元数字资产,并关闭了网站访问,随即进入失联跑路状态。截至笔者发稿,据链上数据显示,GainSwap项目方仍在进行赃款的频繁转移。
与所谓“土狗”项目不同的是,GainSwap一开始被认为是一个“双保险”项目:它不仅通过了成都链安的安全审计,而且有知名钱包TokenPocket的首页推荐背书,同时在金色财经、币世界等垂直媒体上进行了宣发,并得到了一众“大V”的推荐。
GainSwap项目的跑路过程,突破了此前许多被认为“安全”的认知,非常值得引起业内警醒。
1、篡改审计后的合约代码
Gainswap项目跑路后,为其提供安全审计服务的成都链安第一时间发出声明:
据我司核实调查,Gainswap项目对外公示的安全审计报告是经篡改过后的。成都链安·安全团队于北京时间2021年5月21日完成了不包含后门的合约代码的相关安全审计工作;而该项目于北京时间2021年6月4日部署了存在后门的合约,并将已出具的安全审计报告中的合约地址替换为后门合约地址。
也就是说,Gainswap项目方在提交了没有问题的合约代码,取得成都链安的审计报告后,实际上部署了含有后门的合约代码,正是通过这一后门,项目方卷走了用户全部质押资产。
从正常的商业逻辑来讲,成都链安收取了Gainswap项目方的服务费用,为其提供审计服务,理应掌握项目方的公司、人员情况以及付款银行账户,按照这样的途径去追查,违法犯罪分子将难以遁形。
然而,据业内人士介绍,相关审计公司在进行合约代码审计时,往往“只审代码”不管人,通常使用微信联系,通过USDT收取审计费用,因此在公安机关查处案件时,很难提供有效的信息资料,客观上助长了犯罪的“隐蔽性”。
实际上,当前众多所谓DeFi项目,其合约代码基本属于复制粘贴,所谓的“安全审计”,从技术上来讲并没有多大的意义,更多是一种“背书”。然而,此次Gainswap事件发生后,人们蓦然发现,犯罪分子完全可以“审计一套”,“部署一套”,而项目方在部署了篡改的合约后,审计公司并没有后续的监测服务,所谓“安全审计”到底有多大意义,不禁要打上一个大大的问号。
2、虚假身份突破TokenPocket审核
TokenPocket是深圳某区块链公司旗下,一款支持多币种、多底层、跨链交易的通用数字钱包,也是当前国内投资人使用较多的一款钱包产品。据大部分Gainswap项目受害人称,其之所以在Gainswap上进行质押投资,主要是因为TokenPocket对其进行了“首页推荐”。
据了解,原本,TokenPocket对于首页推荐的项目,有着较为严格的审核流程,要求项目方必须有知名公司的审计报告,并要求进行公司或者个人的视频身份认证。然而,蓄谋已久的犯罪分子,在视频身份认证过程中,再次提供了虚假身份信息,以至于给当前追踪工作带来一定困难。
与此同时,犯罪嫌疑人采用类似的手法,通过微信小号联系了金色财经、币世界等垂直媒体,以及一众微博“大V”,在网络上进行了一波宣传,“只认钱,不管什么人”的行业乱象再次为犯罪分子带来了“便利”。
3、犯罪分子将面临法律的严惩
天网恢恢,疏而不漏。
尽管Gainswap项目犯罪嫌疑人“手法老练”,蓄谋已久,但其在作案过程中依然留下了不少蛛丝马迹。同时根据链上工具的追踪,犯罪嫌疑人在交易所的相关账户已经封停,“变现路径”已经基本封堵。
同时,受害人已经在多地报案并立案,一张侦查搜捕的大网已经拉开。
根据《中华人民共和国刑法》第二百八十五条第二款规定,违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
此前不久,EOS链上的知名跑路项目“翡翠币”案件在永嘉县人民法院审理,主犯钟某一审被判处有期徒刑四年六个月,并处罚金10万元,责令退出经济损失返还相应被害人,其余几人另案处理。该起案件的“跑路”方式与Gainswap项目基本“一致”,涉案金额约为1500万元。可想而知,Gainswap项目犯罪嫌疑人将同样面临法律的严惩。
在此,也奉劝犯罪分子迷途知返,早日投案自首并退赃,以争取宽大处理甚至免予刑事处罚。同时也呼吁审计方、钱包方、宣传方,切实负起应负的责任,成立联合工作组,为警方侦破案件提供最大的协助,同时积极回应受害人的合理诉求。