DeFi版名偵探柯南：SushiSwap創始人Chef Nomi深度調查_SHI:YOSHI

十月初，Anchain上舉辦了最新的區塊鏈調查大賽，比賽持續兩周時間，許多玩家期間深入了解到以太坊區塊鏈交易和智能合約數據。除了許多免費提供的工具外，Anchain還為參與者提供了CISO區塊鏈分析平臺的免費許可，讓區塊鏈分析變得更加容易。

在本次大賽決賽圈中，BlockThreat.net威脅分析師PeterKacherginsky重點關注了前期DeFi行業內引發熱議的“壽司”Sushiswap創始人Nomi大廚退出騙局及其在2020年9月歸還資金事件。實際上，該事件也是本次大賽最困難的一個挑戰，本文會提及一些本次區塊鏈調查大賽時所使用的分析工具、技術、以及經驗教訓，并且分享調查Nomi大廚退出騙局及其在2020年9月歸還資金事件的相關步驟。

下面就一起來揭開這一事件的真相吧：

2020年9月5日，“壽司”Sushiswap創建者Nomi大廚從協議中兌現了大約1,400萬美元資金，但之后又在2020年9月11日歸還了這筆錢。我們使用Anchain的CISO工具可以查詢到涉及相關交易的賬戶情況。如果調查上述交易就會發現，Nomi大廚在0xf942dba4159cb61f8ad88ca4a83f5204e8f4a6bd和0xf73b31c07e3f8ea8f7c59ac58ed1f878708c8a76兩個地址之間轉移了38.000枚ETH。

上圖展示了AnchainCISO追蹤?2020年9月11日Nomi大廚轉移38,000枚ETH的相關交易。

2020年9月11日，Nomi大廚在道歉推文中提供了確切的交易哈希，并暗示所有取出的ETH都已經退回到“壽司”Sushiswap庫存賬戶：?

讓我找出這個“0xf942db”開頭的這個地址：0xf942dba4159cb61f8ad88ca4a83f5204e8f4a6bd。Etherscan將該地址標記為——SushiSwap：Deployer，其實從早期交易歷史來看，這個地址從2020年8月26日開始就部署了Sushiswap：SUSHITOKEN合約：?

事實上，Nomi大廚是唯一有能力部署這個合約的人，因此我們可以肯定這個“0xf942db”開頭的地址與Nomi大廚有直接聯系。另一個“0xf73b31”開頭的地址更加有趣，因為這個地址其實在2020年9月3日與“0xf942db”開頭地址部署的同一個多重簽名錢包：

Terra鏈上DeFi鎖倉量為126.5億美元:金色財經報道，據DefiLlama數據顯示，當前Terra鏈上DeFi鎖倉量為126.5億美元，在公鏈中仍排名第2位。目前，鎖倉量排名前5的公鏈分別為以太坊（1151.3億美元）、Terra（126.5億美元）、BSC（118.2億美元）、Fantom（89.7億美元）、Avalanche（85.3億美元）。[2022/1/31 9:24:48]

上圖是多重簽名合約部署，資料來源：Etherscan。

現在是不是覺得很有趣？！是的，Nomi大廚將38,000枚ETH從一個已知的以太坊個人賬戶轉移到他們自己最初創建的多重簽名錢包里。多重簽名合約的優點就在于能夠查到錢包所有者信息。所以，我們可以使用Etherscan的便捷合約讀取功能來查詢該錢包的所有者：?

我們使用多重簽名getOwners()輸出函數即可，如上圖所示，資料來源：Etherscan。

從上面截圖顯示的結果可以看出，其中并沒有Nomi大廚“0xf942db”開頭的地址。不過Nomi大廚此前曾進行了一項交易，將錢包所有權從“0xf942db”開頭的地址更改為了0xd57581d9e42e9032e6f60422fa619b4a4574ba79。在記錄這方面，我們不得不佩服Etherscan，該平臺又為我們提供了詳細的交易事件日志：?

上圖是多重簽名錢包的所有權變更交易，資料來源：Etherscan。

那么問題來了，“0xD57581”開頭的地址所有者是誰的？如果我們在社交媒體Twitter上搜索這個地址，會發現Nomi大廚的Twitter賬戶@Nomichef曾與加密貨幣衍生品交易所FTXExchange首席執行官@SBF_Alameda在Twitter上發生過一次“有趣”的交流：?

基于上述交流記錄，我們知道FTX首席執行官@SBF_Alameda同意接管“壽司”Sushiswap項目，并在其官方Twitter賬戶上發布了自己的以太坊錢包地址作為所有權證明。存款之后，@SBF_Alameda使用“0xD57581”開頭的地址繼續向他剛在Uniswap上購買的多重簽名合約存入557萬枚SUSHI代幣：?

上圖是通過AnchainCISO查詢到@SBF_Alameda將556萬枚SUSHI代幣存入到多重簽名地址。此后不久，@SBF_Alameda繼續提取了38,000枚ETH作為補償，交易記錄如下：?

灰度與CoinDesk聯合推出DeFi基金及DeFi指數:灰度（Grayscale）旗下數字資產管理公司Grayscale Investments已與CoinDesk子公司CoinDesk Indexes推出Grayscale DeFi基金及CoinDesk DeFi指數，Grayscale DeFi基金是一個跟蹤CoinDesk DeFi指數的投資組合，而CoinDesk DeFi指數基于DeFi協議代幣的市值占比加權得出。

該基金已開放供符合條件的個人和機構投資者認購。灰度（Grayscale）正計劃將該基金份額以股票形式上線二級市場。截至2021年7月1日，該指數由以下資產組成：Uniswap（UNI，49.95%）、Aave（AAVE，10.25%）、Compound（COMP，8.38%）、Curve（CRV，7.44%）、MakerDAO（MKR，6.49%）、SushiSwap（SUSHI，4.83%）、Synthetix（SNX，4.43%）、YearnFinance（YFI，3.31%）、UMAProtocol（UMA，2.93%）、Bancor（BNT，2.00%）。（Globenewswire）[2021/7/19 1:03:16]

由此可以看出，“0xf73b31”開頭的地址在整個“壽司”Sushiswap生態系統中起著非常重要的作用，但并不清楚為什么這些交易都要選擇這個地址。為了挖出這個問題的答案，讓我們再來看看獎勵系統如何在Sushiswap上運作。

最早在Medium上宣布推出“壽司”Sushiswap項目的文章現在已經刪除，從存檔網頁中我們發現Nomi大廚提到了Sushiswap有一個項目可持續/開發基金：?

如果我們查看該項目的源代碼，在MasterChef.sol中可以發現執行獎勵的邏輯，下圖是從GitHub上存儲的開發基金SUSHI代幣獎勵的源代碼：?

開發基金的地址信息存儲在變量“devaddr”中，并在初始化時在智能合約構造函數中定義，下圖是GitHub上存儲的開發基金地址初始化源代碼：?

根據Medium的歷史文章顯示，MasterChef合約部署在0xc2EdaD668740f1aA35E4D8f227fB8E17dcA888Cd上。下面讓我們看一下Etherscan，通過第一筆交易可以了解合約部署時是如何設置的：

波場TRON被CryptoRank錄入，DeFi總鎖倉值達77.6億美元:據官方消息，波場TRON被CryptoRank錄入。波場TRON的DeFi總鎖倉值（TVL）達77.6億美元。

據悉，CryptoRank是全球最大的加密貨幣排名網站之一，匯集全球數字資產信息，收錄全球數百家數字資產交易平臺，提供多維度平臺數據分析。[2021/7/13 0:48:07]

不幸的是，輸入數據很難解密，但是我們可以再輸入數據地步找到構造函數初始化數據，如下圖深色區域所示：?

每個構造函數變量的大學均為“uint256”，可以輕松被拆分成單個參數：?

上圖是構造函數參數。

簡單地說，這些參數都與源代碼相匹配，因此我們可以獲得devaddr的參數，結果會發現這個地址已經被明確地設置為Nomi大廚的地址，下圖是GitHub上的Masterchef.sol構造函數變量：

基于上述分析，我們發現“0xf942db”開頭的地址可以收集到10%所有鑄造的SUSHI代幣，而Nomi大廚與2020年9月5日把該地址中的SUSHI代幣兌換成了ETH。但是，如果查看變量當前的狀態，我們將會找到一個完全不同的地址，如下圖紅框所圈出的：?

該地址對應于Nomi大廚返還的38,000ETH的那個多重簽名錢包，也就是說，“0xf73b31”開頭的這個地址實際上就是Sushiswap的一個新的金庫賬戶，用于收集Nomi大廚在Twitter帖子中所提及的10%代幣獎勵，而且只有一個函數可以更新協定中的devaddr變量，如下圖所示：?

我們可以通過掃描Bloxy.info提供的函數調用活動來快速找到對該函數的調用，下圖就是Bloxy的智能合約函數調用查詢結果：?

從下圖中可以看出，dev函數只進行過一次函數調用，就是Nomi大廚于2020年9月5日執行的，就在他在Uniswap上傾銷SUSHI代幣之前的幾分鐘：?

Nomi大廚調用了“0xf73b31”開頭地址上新的devaddr參數，該參數定義了新的庫存賬戶或開發基金賬戶。

至此，我們可以把所有事件的時間表梳理清楚，并形成一個更為完整的報告，從最初創建“壽司”Sushiswap項目一直到2020年9月11日交易及其他相關事件：

SushiSwap調查報告

Lotus市場總監陳培龍：Defi趨勢已經出來，而且未來是可以長期可持續發展的:由Lotus總冠名，金色財經、鏈上ChainUP主辦，BTSLabs、Vtrading協辦，深圳多家區塊鏈企業聯合贊助的金色LIVE在深圳首家區塊鏈酒吧BTCLOUNGE舉辦。 Lotus市場總監陳培龍在演講《圓桌論壇2：專家眼中的安全之道》中表示，作為目前Defi的浪潮當中，很多人最關心的，我相信并不是我的本金的安全問題，而是我的投資回報率能不能可持續？這才是最關鍵的吧。

接下來我覺得作為Defi的安全，我覺得更多的不僅是從審計報告，我覺得更多的是需要一些權威的機構去分析它的安全，因為其實普通幣圈的用戶來講很難去辨別這個項目到底是否真的安全，以及它未來的持續性。我覺得下一步可能更多可以配合交易所，比如說交易所可能會聯合火幣或者幣安鏈本身的項目，同時進行宣傳。其實作為交易所來講，對每個項目的審控，以及把關會非常的嚴，下一步來講，它的安全我覺得可以參照一些交易所聯合Defi的一些項目，我覺得是未來一個很好的挖礦投資的機會。[2021/3/17 18:53:53]

1、@Nomichef是一位匿名開發人員，他/她于2020年8月26日創建了SushiSwapDeFi合約；

2、該合約包含了一個由@Nomichef控制的開發人員帳戶，此帳戶收集了10％所有鑄造的SUSHI代幣。

3、2020年9月5日，@Nomichef從開發者賬戶中提取了價值約1400萬美元的SUSHI代幣，并在Uniswap上將這些代幣兌換成了38011ETH。

4、@Nomichef還設置了新的多重簽名合約作為新的開發人員帳戶，以再次收集SUSHI代幣獎勵。

5、在社區強烈抗議之后，@Nomichef將38,000ETH轉移到先前創建的多重簽名合約中，該合約現在由加密衍生品交易所FTXExchange首席執行官@SBF_Alameda控制。

6、@SBF_Alameda依次存入557萬枚SUSHI代幣，并撤回@Nomichef的ETH作為補償。

7、在進行本次分析時，該多重簽名的開發人員帳戶是最大的DeFi“巨鯨”帳戶之一，價值約90億美元。

區塊鏈分析

以下區塊鏈分析圖是使用AnchainCISO生成的，用于記錄與本案例有關的以太坊區塊鏈上的交易.

DeFi協議Convergence Protocol完成200萬美金融資:2月23日消息，DeFi協議Convergence Protocol完成200萬美金融資，Hashed 領投。NGC Ventures、Genesis Block Ventures、Alameda Research、CMS Group、Kenetic Capital和Pantera的Paul Veradittakit等參投。這筆資金將用于推進Convergence的測試網和主網，并計劃在3月底公開出售其原生代幣。（CoinDesk）[2021/2/23 17:45:23]

ETH交易：

SUSHI交易：

事件時間軸

涉及本時間的相關地址信息

1、x6b3595068778dd592e39a122f4f5a5cf09c90fe2—SushiToken合約

2、0xc2EdaD668740f1aA35E4D8f227fB8E17dcA888Cd—SushiSwap:MasterChefLP抵押池，同時也持有Sushiswap上最大的流動性頭寸。

3、0xf942dba4159cb61f8ad88ca4a83f5204e8f4a6bd—@NomiChef賬戶/SushiSwap:Deployer/Devshare賬戶。

4、0xf73b31c07e3f8ea8f7c59ac58ed1f878708c8a76—合約:MultiSigWalletWithDailyLimit/NewDevshare賬戶。

5、0x80c5e6908368cb9db503ba968d7ec5a565bfb389—Zapper.FiUniswap

6、0xCE84867c3c02B05Dc570D0135103d3fb9cC19433—UniswapV2

7、0xD57581D9e42E9032e6f60422fA619b4A4574Ba79—@SBF_Alameda—FTXCEO

階段零：設置

1、2020–08–2612:28:07UTC—@Nomichef部署了SUSHI代幣合約。https://etherscan.io/tx/0x5489c98aa634078471646e32a3a846c8d413f055ce10d06bd2260f4e71d1bc63

2、2020–08–2601:00:51UTC—@Nomichef部署了MasterChefLP抵押池，同時構造函數顯式設置為devaddr?f942dba4159cb61f8ad88ca4a83f5204e8f4a6bd：

https://etherscan.io/tx/0x3d68b0d8a94838af33070b8f00558e723f073b23772bd1760f1f4032e21e0fb3

3、2020–09–0301:16:40UTC—@Nomichef部署了多重簽名錢包0xf73b31c07e3f8ea8f7c59ac58ed1f878708c8a76。

https://etherscan.io/tx/0x58b4873325c662a043b51f5c479a9cab263f7a4ce80517a0109a753d7ee7700f

階段一：退出

1、UTC2020–09–0509:20:10UTC—@Nomichef向Zapper.FiUniswap合約發起交易：

在此交易中，使用502.49萬枚SUSHI代幣在UniswapV2和Zapper.Fi平臺上開放SUSHI-WETH流動性對，交易量為3886枚WETH。

https://etherscan.io/tx/0xc97cac6a9457f73febfd93ca90dd4dfbe128ad1658c3e48d01ad3d92d3efd07e

2、2020–09–0509:33:19UTC—@Nomichef將devshare帳戶地址從0xf942dba4159cb61f8ad88ca4a83f5204e8f4a6bd更改為多重簽名錢包0xf73b31c07e3f8ea8f7c59ac58ed1f878708c8a76：

https://etherscan.io/tx/0xe7e811bdc697b6ba7794a3ec795797a6c88181116196256b98695f17d987ea11

3、2020–09–0511:57:05UTC—SUSHI-WETH?交易對已清算38011枚ETH，資金被轉回給@Nomichef

https://etherscan.io/tx/0x419a835b33eb03481e56a5f964c1c31017ab196cb7bb4390228cabcf50dfd6f1

階段二：返還

1、2020–09–0606:29:00UTC—@Nomichef達成協議將資金返還給多簽名錢包并將控制權轉移到@SBF_Alameda：

https://twitter.com/sbf_alameda/status/1302501004118695936

2、2020–09–0607:32:34UTC—多簽名錢包所有者從@Nomichef替換為@SBF_Alameda。

https://etherscan.io/tx/0xe4fcf8aa90cc42355e2998561759f906ba5bbb50f2aeea161ebd167e3acc5609

3、2020–09–1103:25UTC—@Nomichef將38,000枚ETH轉移回SUSHI多簽名錢包。

https://etherscan.io/tx/0xa5179a870734faadbb7abe2cc2030436a870f9bda1f869b3f986d65cbfbe57b8

4、2020–09–1103:31:00PMUTC?—@Nomichef致歉，并公開表示已將38,000ETH轉移至“壽司”Sushiswap庫存多重簽名帳戶。

https://twitter.com/NomiChef/status/1304442495342796800

階段三：報償

1、2020年9月15日上午01:13:46UTC—@SBF_Alameda開始從Bittrex和另一個未知交易所累積39699.94枚ETH。

https://etherscan.io/tx/0xcefbd6a9b03522d87915f75ed94c10ed2c87a8456a436ca3f323bf46473bce60

https://etherscan.io/tx/0x6db4e66cba8566721e10015c1aa3db0738e4ac373e817aebf7cf3dba3a1cf377

https://etherscan.io/tx/0x47bfcb08961f1a80dc58e48cc22e34eda0712f3a8cff76eb4be9583a456dcd3d

https://etherscan.io/tx/0xd2c2f5c070eeb3d1ebbe9897f5047ffc74ca9183ef94c826a36b0b0616d65936

2、2020年9月15日上午02:06UTC—@SBF_Alameda完成了將ETH與Uniswap上的SUSHI代幣的兌換。從下面鏈接中可以查到最后一筆兌換交易：

https://etherscan.io/tx/0xc901dea31fcc59a68fbbd9133f775836f3d59a2f0f6423835d949a215f099666

3、2020年9月15日上午02:15:46UTC—557萬枚SUSHI代幣從@SBF_Alameda控制的地址轉移到多重簽名錢包

https://etherscan.io/tx/0x8ff45efc77e5d81714f5a2e0a839c216112c2af6242041ef2d46cdf2fe8678f0

https://etherscan.io/tx/0x968de6f3f80b2af08d1c520d20d9c94019152cbac838aabf6c632da02ee0229f

4、2020年9月15日上午4:42UTC?—?將38,000枚ETH從多簽名錢包轉移到@SBF_Alameda。

https://etherscan.io/tx/0x7ef94acf19eaff3517e0675db1d6694b7567e79090cb1192f20ad0ee7892078d

https://etherscan.io/tx/0x7d3ab2ea9a4578f9ff08b90a73ec3d262cc6f3a6fc39bf6bd1e7c20e39c1eeb1

https://etherscan.io/tx/0xcbd16d06238b136390b1d914c3defddf378de59bf15906833d8fc25ccbc2f951

5、2020年9月15日上午5:50UTC—3920,000枚ETH通過多筆交易從@SBF_Alameda轉移到0x9f9643c8b413b32c3a1270068487f341e5be8bfd。下面鏈接是這些交易中的一個示例：

https://etherscan.io/tx/0xd2f19e24961802ff29792e978844691f67e9c37173539cf86d204b68a9e91885

6、2020年9月15日上午06:10:03UTC—1,000,000枚SUSHI代幣從多重簽名財務帳戶轉移到@SBF_Alameda。

https://etherscan.io/tx/0xe5a08db5e46cff54ac0bc15e5c307bc68daba03c1edd17e7cb4b4044d79ac435

原文作者：PeterKacherginsky

譯者|Moni

Tags：ETHUSHISUSHISHIeth學費Minimal Initial SushiSwap OfferingSUSHIBEAR價格YOSHI

中幣交易所