原文|NFTethics
整理| Odaily星球日報
如果你是Meme 幣愛好者,一定聽過今年最熱門的項目PEPE 的大名,並且可能也聽過相關的財富神話。例如,一些所謂的「SmartMoney」地址自PEPE 發行之初花費100 美元買入且從未下車,最終收益幾萬倍(鏈上數據可以證實)。
普通人為什麼無法成為最早上車的一波人,抓住「萬倍幣」?因為,這類項目獲利最多有且只有操盤手,他們可以買在谷底並在山頂逃走;甚至於,這類Meme 項目創立初衷,也只是幫一些黑錢洗白。
最近,X 平台(原Twitter)用戶「NFTethics」刊發了多條長文,透過縝密的鏈上分析以及各類佐證,確定了PEPE 背後操盤手的真實身份。
總結其推文相關要點,如下:
一、2021 年11 月Rug Pull 計畫AnubisDAO 的資金,借助今年大火的PEPE 計畫洗白,而背後操盤的是匿名且知名DeFi 投資人Sisyphus。
二、Sisyphus 真實身分是OpenSeaVentures 負責人KevinPawlak,現在生活奢靡;
三、Sisyphus(即Kevin Pawlak)是AnubisDAO 專案背後真正的主導者,其透過駭客手段獲得了當時專案管理者私鑰並轉移了資金,成功找到替罪羔羊「甩鍋」,逍遙法外。
最新的消息是,OpenSea 發言人回應此事:「Kevin Pawlak 於2023 年6 月離職,在OpenSea 期間工作範圍有限,擔任非管理職位,不知道他是否參與AnubisDAO Rug 事件。此外,我們與相關項目沒有任何联系,也沒有相關信息,因為這些項目是在他加入OpenSea之前進行的。”
一、Anubis計畫Rug資金藉助PEPE拉盤洗白
時間回到2021 年11 月,OlympusDAO 的仿盤項目AnubisDAO(代幣ANKH)在進行了LBP(流動性引導池)後籌集了13256.4 ETH(彼時價值約5700 萬美元)。但很快,管理人員發現這些資金被轉移到另一個新地址中,此時LBP 已經進行20 小時,尚未到達結束時間。
我們故事的主角Sisyphus 在AnubisDAO 中扮演什麼角色?明面上是計畫的宣傳大使,暗地裡卻是主導者(後文會介紹)。
在AnubisDAO 資金被捲走前一天,Sisyphus 還在Discord 社區中大肆鼓吹該項目,並且宣稱自己已經買了42 萬美元(記住這個知識點,要考),接下來還會買更多;並且,為了打消大家的後顧之憂,Sisyphus 也表示這個計畫永遠不會Rug,即便開發不順利,最後大家也會拿回本金。
結果,第二天,專案真的Rug 了。 Sisyphus 第一時間寫了長篇小作文,撇清自己的責任,同時表示已經和美國和中國香港的執法機構接觸,呼籲駭客盡快還錢。此後,Sisyphus 就沒了下文,也不再更新AnubisDAO 相關動態,似乎42 萬美元真的只是一筆小錢。
當然,駭客也沒有歸還AnubisDAO 被盜資金。在過去近兩年中,這些被盜不斷轉入各類混幣器以及無需KYC 的平台進行洗白。其中一個錢包(Anubis Rug 3)地址,就與塞席爾一家無需KYC 的平台FixedFloat 互動-該錢包Gas 由FixedFloat 發送。如下圖所示:
有趣的是,PEPE 計畫早期持有者的啟動資金也是來自FixedFloat 平台,例如Zach Testa(帳號:DegenHarambe)以及Max Zim(帳號:SumFattyTuna ) 。特別是Zach Testa,在4 月14 日PEPE 代幣合約發布僅幾分鐘就買入了,隨後發布專案推文;3 分鐘後,Max Zim 立刻轉發推文並且同樣買入PEPE。整個過程看起來非常絲滑,似乎一切看起來就像是排練好的。
而Sisyphus 與Zach Testa 以及Max Zim 之間的關係非常密切,有消息指出Zim 是Sisyphus 的前室友。在AnubisDAO Rug 之前,Sisyphus 的錢包曾與Zim 進行過轉帳互動;並且,兩人還曾一起參與節目訪談——Sisyphus 沒有真人出鏡。
4 月17 日,Sisyphus 發布推文稱,“週末有人用一種名為“pepe”的代幣將0.02 ETH 變成成63 ETH”,並貼出了0x5DD 開頭的某個地址。Zim 立即回應了Sisyphus的帖子,二人進行了互動。
有趣的是, 0x5DD 開頭的地址,在4 月7 日收到了來自FixFloat 平台的啟動資金。另外,4 月7 日這一天,還有另外一個版本的“PEPE”代幣(為了區分稱為aPEPE)也進行了首發,與目前大家熟知版本的PEPE 有著相同的合約以及同一早期批持有者。例如,Zim 就在4 月7 日aPEPE 發售之初入場購買了——但他卻在後面的社區採訪中說自己此前從沒有聽過PEPE。似乎,從一開始,Zim 就知道PEPE 幣要漲。
巧合之處遠不止上面這些。當Anubis Rug 3 錢包轉帳3000 ETH 後2 分鐘,Zim 錢包位址開始進行鏈上互動買入PEPE;並且調查發現,與Anubis Rug 關聯的錢包處於活躍狀態轉帳時,Zim 錢包似乎都在進行與PEPE 有關的操作。
另外,Anubis 資金主要透過Stake 等平台進行洗錢;而與PEPE 有關的資金錢包地址,也在PEPE 上線日(4 月14 日)後將大量資金轉移到Stake,並從Stake 轉移到FixFloat。並且,Anubis 被盜資金大部分在今年3 月~7 月轉出,與PEPE 生長週期基本重疊/同步,二者之間存在極深的關聯,被盜資金可能透過炒作PEPE 洗白。
關於Anubis 被竊資金完整去向,還需要一些CEX、OTC 平台聯手行動──有一部分資金流入了需要KYC 的平台。 Anubis 被竊資金與PEPE 炒作究竟有沒有關聯,還需要更多證據驗證。
補充一個細節,今年8 月,PEPE 團隊內訌,幾名前成員私自刪除多簽權限拋售代幣,最後官方發了一張含糊其辭的公告。
二、Sisyphus主導Anubis,並設計自行Rug
部落客「NFTethics」獲得了Anubis 資金被盜前幾天該團隊成員的內部聊天日誌。
根據調查推理,Sisyphus 似乎是該項目背後真正的首腦,幾乎所有事情都需要他的批准和簽署,包括每條發布推文的確切措辭以及每個技術/財務問題。而且,計畫Rug Pull 似乎也是Sisyphus 自導自演,並成功讓另一位成員「Beerus」為此背鍋。
在團隊分工表中,Sisyphus 對自己的定位是“負責對外公關並幫助將DAO 成員團結在一起”,但實際上他是負責人進行發號施令。
團隊成員「AureliusBTC」在聊天中說:「我們中沒人真正了解LBP(流動性引導池),但只要Sisyphus 懂就行了。」。當另一位成員「Beerus」發文對外官宣有新成員加入Anubis 時,Sisyphus 立即指示他刪除該推文,Beerus 照做了。並且,Sisyphus 也在聊天記錄中表示,自己與Alameda Research(SBF 旗下加密公司)有聯繫,對方也購買了Anubis 的代幣ANKH。
讓我們把目光收回到Anubis 被抽乾流動性這件事。事件發生後,Sisyphus 對外聲稱,「DAO 成員同意讓Beerus 部署LBP,因為他們要么沒空,要么不想負責」。但在內部聊天中,沒有證據支持這一說法——事實上,Sisyphus 最開始提到他們用的是「有史以來最好的多重簽名」,而在後面聊天中他卻說自己沒辦法簽字授權——因此,猜測他可能是透過這種方式將原來的多簽改成由Beerus 單獨負責,從而為後面攻擊埋下伏筆。接下來故事的時間線如下:
- 10 月28 日深夜,Sisyphus 提到自己要睡覺了,打算睡6 小時,最後一則訊息停留在00:16;
- 隔天早上加入聊天時,時間是上午07:18,中間還在群組裡回答了幾個問題;
- 07:20,掌握著LBP 管理權限的「Beerus」的郵箱,收到一封來自Sisyphus 電子郵件地址的電子郵件——包含一份帶有SAFT(未來代幣簡單協議)的PDF——Beerus 在案發後提到,這個PDF 含有木馬病毒,損害了自己電腦並竊取了LBP 管理權限;
- 07:26,Sisyphus 與Beerus 溝通交流了一段時間,並提醒後者在LBP 結束前保持清醒,一直交流到 07:44,此時距離LBP 結束還有4 小時;
- 07:48,LBP 資金耗盡,所有ETH 被管理帳戶提取到一個新地址,只留下一堆沒有價值的ANKH 代幣。
根據事後調查,Copper平台和Balancer的智慧合約均未被攻破或破壞。也就是說,LBP 創建者的Beerus 錢包帳戶要么像他說的那樣被入侵,要么就是自導自演。而Sisyphus 則聲稱,自己的電子郵件地址從未寄過這封郵件。
到底誰在說謊?我們從一些側面資訊進行推論。首先,不只有Beerus 收到郵件,其他VC 聯絡人都收到了——所不同的是,Beerus 是在上午07:20 收到PDF 電子郵件,而其他人遲了半小時,有的甚至遲了好幾小時。一個可能的解釋是,攻擊者群發郵件是為了混淆攻擊目標,而且還提前預留了讓Beerus 開啟PDF 攻擊電腦的時間。
再者,事後對其他收到的PDF 進行分析時,沒有可見的反欺騙警告。 SPF 不會標記Gmail 位址,除非該位址實際上並非來自Gmail;根據照片,該位址很有可能發送了實際的電子郵件。換句話說,這些電子郵件真的是從Sisyphus 真實電子郵件地址發出的——而Sisyphus 信誓旦旦說自己沒發送過郵件,還在群組裡裝傻地問「這是什麼意思」。
另外,對其他人電子郵件分析發現,沒有裝載木馬病毒——實際上可能只有Beerus 的才有病毒,事後他也向香港警方提交了自己的電腦以證清白(目前沒有最新進展,事件似乎不了了之)。
問題來了,攻擊者是怎麼知道Beerus 掌握LBP 管理權限?除了一些內部人士之外,沒有人知道Beerus 是(唯一)擁有控制權的人。事實上,Anubis 團隊成員Convex 就在群聊中提到了這一點:「為什麼Beerus 甚至會收到惡意軟體?他成為攻擊目標是沒有意義的。眾所周知,我和aureliusBTC 才是開發人員,更像是掌握私鑰的。外人根本不清楚Beerus 的具體情況。 ”
有趣的是,Sisyphus 還追問Beerus:「夥計,你點了什麼?」這時,Beerus 還沒有跟大家透露他點擊了那個惡意電子郵件PDF,其他人都不知道,Sisyphus 又是怎麼知道的?
在LBP 資金池被抽乾後,Sisyphus 指責Beerus 對計畫實施了Rug,並說「你把我的名聲毀了」。並且,Sisyphus 也發布了攻擊者的IP 地址,並提到它來自Beerus 居住的香港——實際上,這個IP 位址來自透過第三方VPS 供應商,可以租用不同地區伺服器,不具備參考價值。後來,Beerus 被投資者人肉出真實身份,係是香港賽馬界的知名人物張順正的兒子,享年19 歲。
還有一個細節,前文提到的PEPE 早期參與者Max Zim,也參與了Anubis 這次的發售。事後,他還在Twitter 上為Sisyphus 辯護,畢竟二人關係莫反。
三、Sisyphus再開小號,真身系OpenSea Ventures負責人Kevin Pawlak
誠然我們前文所說,號稱在Anubis 計畫上投資了42 萬美元的Sisyphus,在計畫Rug 後一點也不失落。在發了一篇小作文撇清自己的責任後,就不再關注後續進展。
11 月6 日(攻擊發生一週),Sisyphus 在Twitter 上再開了另一個帳戶,化名「0xMagallan」(現在已註銷)。該帳號在過去兩年中異常活躍,累計發文超過5000 條,參與各種專案行銷,帳號包含ferdinand-magellan.eth 和ukrainedonations.eth 兩個錢包地址。
實際上,Sisyphus(Kevin Pawlak)有爭議的地方還有很多。例如,他曾經購買價值昂貴的NFT Etherrock 72,並將其在NFT 碎片化協議Fractional進行碎片化為PEBBLE 代幣,並以極高的溢價出售。以ETH 計價,PEBBLE 代幣據高點跌幅超99%。該專案已於2023 年關停,結束所有業務;PEBBLE 的官方網站pebble.xyz 也已過期,處於銷售階段。
似乎一直以來,都沒人見過Sisyphus 以及0xMagallan 的真身,網路上也從來沒有相關資料。不過,「NFTethics」還是透過各種鏈上資訊以及多個來源確認了其真實身份,系OpenSea Ventures 負責人Kevin Pawlak。
Kevin Pawlak
首先,pawlak.eth 和sisyphus.eth 地址上的時間戳完全匹配。鏈上數據顯示,他們都在間隔1 分鐘內鑄造了Zorbs (ZORB),並且他們還在10 分鐘內鑄造了sismo.eth DAO (SDAO),同時其他鏈上操作間隔時間也很短,帳戶基本同頻活躍。
有趣的是,Kevin Pawlak 還經常用“Sisyphus”這個小號,發表一些對OpenSea 的批評帖子——也許是想給他們施加一些壓力,讓Opensea 能夠推出一個他能從中受益最多的項目,也許只是發發牢騷。
包括TheBlock的記者Tim Copeland 在內的更多人證實,Sisyphus 的真實身份確實是Kevin Pawlak——實際上他的身份在小圈子裡眾所周知。現在,他將錢包重命名為pawlak.eth。錢包位址為:0xBB5BB336d1Db8471B77F936C210B15fa2A5b3cbb。
Kevin Pawlak 很聰明,是英特爾科學人才半決賽選手,擁有化學工程學位,想成為外科醫生/科學研究人員,但認識他的人提到了他的陰暗面:無情、不道德、反社會,可以毫無良心/悔恨地撒謊。
去年10 月,Kevin Pawlak 以330 萬美元購買了紐約的另一處房產。消息人士稱,Kevin Pawlak 最近在法國購買了一輛勞斯萊斯和蘭博基尼(價值超過100 萬美元),並在私下炫耀他的財富和奢侈的生活方式。
目前,Kevin Pawlak(Sisyphus)尚未對外界質疑進行正面回應。若有最新動態,Odaily星球日報也將第一時間關注報導。