Solana上的算穩項目Nirvana Finance重啓V2

上周發生了許多重要事件，其中联准会相對激進地降息50個基點，日本央行也按兵不動。這預示着未來幾周內可能不會出現過度利空的信息。在這個過程中，我們需要關注兩個關鍵點來把握風險：一是就業市場是否如期恢復，二是通脹重燃風險。

除此之外，一條引人注目的消息是Solana上的算法穩定幣項目Nirvana Finance宣布重啓V2版本。該項目在2022年7月遭受黑客攻擊，損失了350多萬美元後被迫中止運營。現在能夠重啓，意味着相關司法機構可能已經完成了對被盜資金的追回。這可能成爲美國首個因智能合約攻擊而被定罪的案件，對海洋法系具有標志性意義，今後類似案件的處理流程可能會得到顯著改善。

Nirvana Finance遭受閃電貸攻擊的背景

Nirvana Finance是Solana區塊鏈上的一個算法穩定幣項目。該項目於2022年初啓動，但在同年7月28日遭到黑客攻擊，所有穩定幣NIRV的抵押品（約350萬美元）被盜。盡管項目合約未開源，黑客仍利用某借貸平台的閃電貸功能實施了攻擊，這一度引發了對項目團隊的質疑。

有趣的是，該項目在被攻擊前宣稱完成了"自動化審計"，但顯然這並未起到預期效果。聯合創始人Alex Hoffman在接受媒體採訪時表示，就在攻擊發生的那周，團隊剛剛開始進行審計工作。他承認，最初並未預料到項目會獲得如此大的關注，直到一些中國媒體的報道導致總鎖倉量（TVL）大幅上升。這可以理解，因爲當時正值某算法穩定幣項目如日中天，整個算法穩定幣賽道受到廣泛關注。

項目在獲得初步成功後，Solana的CEO Anatoly Yakovenko甚至親自敦促進行智能合約審計，並試圖加快審計進程。然而，在抵押品被盜後，項目陷入停滯，只有Discord社區仍由官方人員維護。社區一直在監控被盜資金，但由於黑客使用了某匿名化工具和隱私幣等手段進行隔離，追回工作並無實質進展。

案件breakthrough和後續發展

事情在2023年12月14日出現轉機。一名叫做Shakeeb Ahmed的前亞馬遜高級軟件安全工程師在紐約南區法院承認了與Nirvana Finance和一家未具名的去中心化加密貨幣交易所遭黑客攻擊有關的計算機欺詐指控。美國檢察官辦公室稱，這是首例因黑客攻擊智能合約而被定罪的案件。

Nirvana Finance的創始人在項目遭攻擊後並未停止工作，而是開發了其他項目，如superposition finance和concordia systems。這也體現了保持一定匿名性的好處，至少負面情緒不會被輕易轉移。

2024年4月15日，案件迎來宣判。Shakeeb Ahmed因入侵和詐騙兩家加密貨幣交易所被判處三年監禁。6月6日，被盜資金被轉移回項目指定帳戶，標志着資金正式追回。

案件的真正源頭和黑客的捕獲過程

實際上，整個案件的源頭應該是另一個去中心化交易所的攻擊事件。Nirvana Finance是在黑客被捕後主動交代而被鎖定的。

當時34歲的Shakeeb Ahmed是一家國際科技公司的高級安全工程師，專門從事智能合約和區塊鏈審計，精通軟件反向工程。這解釋了爲什麼Nirvana在未開源的情況下也會被攻擊。反向工程技術可以將編譯過的執行碼轉換回人類可讀的高級語言，而智能合約的編譯碼都存儲在鏈上，精通此技術的人可以輕鬆獲取。

根據美國司法部公開的文件，案件的真正源頭是2022年7月被攻擊並損失約900萬美元的某去中心化交易所。Ahmed通過閃電貸攻擊了該平台，並提出了250萬美元的"白帽賞金"以贖回其他用戶資產並放棄追訴。最終，該交易所同意接受約168萬美元的"白帽賞金"。

Ahmed被捕的關鍵可能有兩點。首先，攻擊者與某中心化交易所地址或其關聯的嵌套交易所地址進行了交互。其次，Ahmed在使用某匿名化工具時可能出現失誤。他在攻擊後不久就將資金存入該工具，但很快就有贖回交易發生，而且贖回的資金最終進入了另一家中心化交易所。這似乎暗示司法機關是通過與這兩家中心化交易所合作，最終在紐約抓獲了Ahmed。

無論如何，被盜資金的追回是一件好事。這反映出兩個問題：首先，對於DApp開發者來說，資金安全是必須重點考慮的維度。其次，此類案件現在有了處理的參照藍本，對相關違法行爲應該會起到一定的震懾作用。