我做Web3侦探这几年:见证“去中心化美梦”的破灭
2022-05-05 21:08

我做Web3侦探这几年:见证“去中心化美梦”的破灭

本文来自微信公众号:极客公园 (ID:geekpark),作者:赵维鹏,原文标题:《我做 Web3 侦探这几年:见证一个个“去中心化美梦”的破灭》,题图来自:《黑客帝国:矩阵重启》


牵动数百万美元利益的谜团,在破解之前都会呈现在 Coffezilla 办公室的一面墙上。就像福尔摩斯侦探小说里那样,几根红线相互交错,连接着不同“嫌疑人”的照片。


Coffezilla 在 Twitter 上有 12 万粉丝,他称自己为“网络侦探”,专注于揭露加密货币、Web3 和 DeFi(去中心化金融)领域的骗局。


根据统计网站 CoinMarketCap 的数据,在过去的十年里,加密货币已经从一个小众、边缘的东西变成了金融市场和流行文化的重要组成部分,市值从 54 亿美元飙升到了 1.8 万亿美元。


Coffezilla 在社交媒体上揭露骗局,敢于露脸需要勇气 | 图片截图自 Coffezilla 的 YouTube 


一同繁荣起来的还有“骗局”。从 2021 年开始,NFT、DeFi 等项目的火热,让诈骗者和黑客嗅到了“商机”,似乎每隔一天,一些著名收藏家就会被盗走一个 NFT,一个匿名开发者便会卷钱逃跑,或者一个加密项目被黑客卷走数百万美元——这就是当下的 Web3 的 B 面。


“每个人都在不断强调加密货币如何让世界变得更好,但并没有去谈论底层的人是如何被他们剥削的。加密货币中存在很多诈骗。”Coffezilla 在接受 VICE 采访时如此形容 Web3,“那里就好比是狂野的西部,监管机构赶来的速度有点慢。”


Web3 的独特性,催生了“Web3 侦探”这种职业。目前,它似乎比监管机构和网络安全公司,更能解决投资者们的问题和顾虑。Coffezilla 并不是孤军奋战,他的同类越来越多,他们活跃在各种社交媒体上,成为了 Web3 重要的组成部分。他们揭露诈骗者,并追踪黑客,然后将他们公之于众,提醒大众远离他们。你也可以将他们理解为 Web3 的赏金猎人、打假人,致力于给网民一个“清朗的网络空间”。


Web3 侦探崛起


ZachXBT 从不露脸,也从不用他的真名,但他对 Web3 和加密世界的影响与 Coffeezilla 一样重要。ZachXBT 称自己为“rug pulls 幸存者”,所谓的 rug pulls 骗局指项目方在筹集资金后,就立即卷钱跑路。在被骗之后,开始专注于研究加密骗局。他在 Twitter 上有超过 20 万粉丝。


和 Coffeezilla 不同,他已经将区块链侦探作为了全职工作,靠交易加密货币和从众筹平台 Gitcoin 上获得捐款为生。至今,他已经在网络上曝光了 30 多项加密骗局和参与其中的人。


遗憾的是,这些诈骗总是和社会名人联系在一起。


比如,ZachXBT 曾揭露说唱歌手 Gunna 参与宣传了一个加密骗局;他也曾指控了一个拥有 50 万粉丝的 YouTube 博主在 2022 年年初的一次直播中呼吁观众购买一种名为 The Famous Token (TFT) 的山寨币。ZachXBT 发现该代币于 2021 年 9 月就已经被开发人员放弃。


“令我感到沮丧的是,为什么拥有如此多粉丝的知名人士,不断地欺骗他们的粉丝呢。”ZachXBT 很困惑。


Molly White 是一名软件工程师和加密博主,他经营着名为“Web3 is going just great”的 Twitter 账户和网站,而成立网站的目的是:为 Web3 世界中的诈骗、黑客和诉讼行为提供存档。


Molly White 觉得,Web3 生态系统中“缺乏任何消费者保护”。如果没有 ZachXBT 和像他这样的人所做的“关键”工作,大量的骗局永远不会被揭露。Web3 越来越火,骗局越来越多,Web3 侦探也在批量崛起。


根据科技频道 Motherboard 报道,Rug Pull Finder 社交媒体账号的创始人 Alessandro Ribeiro 在自己陷入了 3 次 rug pulls 骗局之后,开始以独立侦探的身份调查 Web3 骗局,在今年 2 月,他将 Rug Pull Finder 注册为一家公司,并组建了一个 16 人的团队。“这样,能够更方便地和其他机构和公司建立商业往来。”


他表示,这些 Web3 侦探存在的原因之一是 Web3 生态系统依赖于公共区块链,它允许任何人查看智能合约、公共 Discord 频道和社交媒体帐户的动态。


“Web3 侦探可以获得比其他生态系统更多的信息。这意味着有才华的调查人员可以更轻松地找出线索并揭露骗局。”Web3 网络安全公司 Convex Labs 的研究主管 Nick Bax 表示。Convex Labs 是加密领域少有的网络安全公司之一,他们最近启动了其第一个项目,名为 HonestNFT,该项目承诺审核“NFT 项目的公平性”。它还出售自己的 NFT 系列,称为“Vigilante NFT”。


Web3 的漏洞给了 Web3 侦探“施展才华”的空间,保护 Web3 的方式不止以上这些。比如,艺术家和网络安全资深人士 Simona Panzica,她除了追踪诈骗者或黑客的蛛丝马迹,帮助找回被盗的数字资产之外,还做一些防诈相关的教育项目。


Panzica 面向 NFT 艺术家和收藏家,出版了一本书专门教授网络安全。她也主持 Twitter Spaces 和 Clubhouse 会议,告诉社区中的人们如何避免成为受害者。


Web3 侦探往往都是匿名的存在,因为不断揭露别人的骗局,难免被一些“仇家”盯上。ZachBXT 说,“收到死亡威胁并不好受,但很欣慰有很多支持我的人。”ZachXBT 已经从一些加密公司那里收到了 offer,但他希望保持独立,“为任何实体工作都不允许有同等程度的自由和创造力。”


一场骗局的形成


名人代言加速了 Web3 的流行,但这往往也是骗局的起点。


很多名人为加密货币做过代言:马特·达蒙推广了一款可以交易加密货币的 APP。坦帕湾海盗队四分卫汤姆布拉迪和他的妻子吉赛尔邦辰为一个加密货币交易所做了广告。YouTube、TikTok、Instagram 和 Twitter 上的加密货币博主不时秀出自己充满头等舱航班、豪华套房、顶级游泳池的生活,他们在极力地表达着:加密货币是一种极佳的快速暴富的方式。


马特·达蒙出演加密货币公司的广告片 | 图片来自广告片截图


骗局的编织者们深谙如何影响群众的心理。他们懂得用更多的钱去打动能够影响加密圈子的关键人、关键传播节点。


最近一份刊例报表在网络上流传,透露了转发一条推特多少钱、发布一条原创推文的价格,从几百美元到几万、几十万美元不等。这份清单包含了数十个大 V,他们当中很多人的个人主页上都写着正在推广某个加密项目。他们自称为是加密货币的推动者、KOL、Web3 builder、Crypto trader。


这些付费推文的内容往往比较夸张,文字中通常包含如下熟悉的词汇:“百万富翁制造商!”、“由加密货币领域最透明的两个人领导的”、“每 36 天翻一番!”“159,402.57% 的超高固定年收益率”。——这样的项目往往最后都卷钱跑路了。Coffeezilla 说,这些广告彰显着名人和有影响力的人似乎可以赚到“轻松的钱”,但事实证明,这些人往往也都是被利用了。


“目前最猖獗的是有影响力的博主和名人在 Twitter、YouTube 和 Instagram 等社交媒体平台上推广未公开的‘私募’项目。”他在解释这些骗局的运作方式时说。


ZachXTB 前不久就揭露了这样的骗局。他发现,在 9 个欺诈性 NFT 项目的背后,是 4 名年轻的克罗地亚人,年龄在 20-23 岁之间。他们一共“卷走”了 280 万美元。


ZachXTB 在推特上曝光了他们的姓名。“很明显,这几个诈骗犯还没有完全理解区块链的原理,留下了太多把柄。这些线索最终都可以追踪到他们。”他解释道,由于粗心(或许是无知),他们忘记了删除所有可能使他们与项目相关的痕迹和配置文件。


这些诈骗项目都号称有远大的计划和前景,为投资者画了“大饼”,在加密社区、各个社交媒体上不断地炒作,来吸引更多小白投资者入局,然后项目团队带着钱一夜消失。


“诈骗者采用的策略一直在演变,投放虚假广告或将用户引导到与实际产品域名相似的山寨网站,在当下比较流行。”某安全公司的“白帽子”说道。


另外,黑客也是 Web3 侦探的狩猎目标。在过去的几个月里,黑客将目标锁定在大型加密货币公司身上,例如赚钱游戏 Axie Infinity 和 WonderHero、稳定币 Beanstalk、Poly Network、跨链桥 Wormhole、Multichain、加密游戏公司 Vulcan Forge、BadgerDAO 和加密交易所 BitMart 等等,通过直接窃取他们的账户获利。


智能合约:博弈的根源


根据区块链分析公司 Elliptic 的数据,迄今为止,DeFi 协议已经损失了 120 亿美元。一个核心问题是,许多加密货币或 DeFi 项目所依赖的智能合约存在天然的风险。


智能合约是指存在于区块链上的高度复杂的自动执行代码。它们是公开的,不能被删除,并且难以更改,这意味着是当你发现漏洞时也无法轻易修复。而很多加密项目发起者总是希望尽可能快地构建项目和智能合约来率先进入市场,这也导致了更多的合约漏洞。


所有软件都有缺陷,但在“代码就是法律”的 Web3 领域,这种风险被放大了。加密世界的安全性正处于“水深火热之中”。


网络安全公司 NCC Group 的高级副总裁 Jennifer Fernick 表示,这一切都显得有趣,直到因一个软件漏洞而损失 50 亿美元的事情发生在你身上。


Jennifer Fernick 说,Web3 的另一个挑战是“智能合约中的许多漏洞来自于与其他智能合约的外部交互,因此即使你的应用程序代码是安全的,但如果和你交互的其他应用有漏洞,也可能导致灾难性的损失。”


而 Web3 侦探也正是利用合约的漏洞来追踪黑客和诈骗者。一位白帽黑客透露了几种简单的调查方法,他表示,基于区块链技术的“不可篡改”,“交易公开透明”,“可追溯”等特性,可以通过区块链浏览器可以查看钱包的余额、交易记录、交易相关的费用、以及钱的去向等信息;然后再结合一些开源情报工具,去寻找相关的电子邮件、社交媒体信息和其他线索。


“监管”的未来


“准备好迎接 SEC 的执法猛攻吧。”一位前 SEC 雇员说。


SEC 在 5 月 3 日宣布,美国证券交易委员会的加密执法团队规模将翻一倍,使该部门的总人数达到 50 人,以应对不断增长的加密行业。SEC 将该部门重命名为“加密资产和网络部门”,他们解释到,这样做是为了在快速增长、诈骗猖獗且经常不受监管的加密货币世界中更好地保护投资者。该部门将专注于调查 NFT、去中心化金融(或“DeFi”)平台、稳定币、加密资产和交易所,以及加密资产借贷和质押产品。


根据华尔街日报报道,因为前监管机构雇员 Gensler 在麻省理工学院开设了有关比特币的课程,他一直在努力说服主要的加密公司自愿接受 SEC 的投资者保护措施。他敦促加密货币交易平台在美国证券交易委员会注册为交易所,Gensler 表示加密公司发布的许多数字代币都属于证券,如果在没有任何联邦监督的情况下进行,该活动可能是非法的。


然而,FTX 和 Binance 等知名加密公司都拒绝了 Gensler 的要求,称他们没有在交易证券,而且注册为交易所将使他们遵守新的成本和合规要求。


在加密领域有一个流行的词汇叫作 DYOR(Do Your Own Research),它鼓励人们在投资之前先去研究和了解加密货币,以便他们能够准确地回答为何购买并支持该项目的原因。加密货币交易者和博主在社交媒体平台上发布帖子时,往往也将该术语加在后面,当作免责声明。


不过,艺术家、Web3 侦探 Simona Panzica 对此很不屑,“Web3 侦探的存在证明了 DYOR 是多么的无力,绝大多数人没有能力做那种研究。”Web3 的安全任重道远。


参考文献:SEC to Hire More Crypto Cops to Fight Digital Frauds,WSJ2、Meet the Blockchain Detectives Who Track Crypto’s Hackers and Scammers,Motherboard3、SEC Nearly Doubles Crypto Enforcement Unit Size to Tackle Fraud,VICE


本文来自微信公众号:极客公园 (ID:geekpark),作者:赵维鹏

本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
正在改变与想要改变世界的人,都在 虎嗅APP
赞赏
关闭赞赏 开启赞赏

支持一下   修改

确定