Solana算法穩定幣項目Nirvana Finance重啓，揭示智能合約攻擊定罪案例

上周金融市場迎來重要變化，联准会採取相對激進的降息措施，將利率下調50個基點。與此同時，日本央行選擇維持現有政策不變。這些決策預示着短期內可能不會出現過度利空的信息。分析這一局勢時，需要重點關注兩個關鍵因素：就業市場的恢復情況以及通脹重燃的風險。

近期，一則引人注目的消息引起了廣泛關注。Solana生態系統中的算法穩定幣項目Nirvana Finance宣布重啓V2版本。該項目曾在2022年7月遭受黑客攻擊，損失超過350萬美元，隨後被迫中止運營。有趣的是，攻擊該項目的黑客已經被定罪，而項目的重啓意味着相關司法機構可能已完成對被盜資金的處理。這一事件可能成爲美國首個因智能合約攻擊而被定罪的案例，對於海洋法系具有裏程碑意義，有望顯著改善未來類似案件的處理流程。

Nirvana Finance遭受閃電貸攻擊的背景

Nirvana Finance是Solana區塊鏈上的一個算法穩定幣項目，於2022年初啓動。該項目在2022年7月28日遭受黑客攻擊，導致其穩定幣NIRV的全部抵押品（約350萬美元）被盜。盡管項目合約未開源，黑客仍通過利用Solend的閃電貸功能成功實施了攻擊，這一事件也引發了一些關於內部作案的猜測。

值得注意的是，在遭受攻擊前，Nirvana Finance曾宣稱完成了"自動化審計"，但事實證明這種審計並未發揮實際作用。項目聯合創始人Alex Hoffman在接受採訪時透露，就在攻擊發生的那周，團隊剛開始進行審計工作。他承認，項目初期並未預料到會受到如此廣泛的關注，直到一些中國媒體的報道導致其總鎖倉量（TVL）大幅上升。這也不難理解，當時正值Luna項目如日中天之際，算法穩定幣賽道自然成爲市場焦點。在項目取得初步成功後，Solana的首席執行官Anatoly Yakovenko親自建議進行智能合約審計，並嘗試加快審計進程。

資金被盜後，Nirvana Finance陷入停滯，但其Discord社區仍由官方人員維護。社區持續監控被盜資金的動向，但由於黑客利用tornado和門羅幣等隱私工具進行隔離，追回資金的努力未能取得實質性進展。

事態在2023年12月14日出現轉機。一名名叫Shakeeb Ahmed的前亞馬遜高級軟件安全工程師在紐約南區法院承認了與攻擊Nirvana Finance和另一個未具名去中心化加密貨幣交易所相關的計算機欺詐指控。美國檢察官辦公室表示，這是歷史上首次因黑客攻擊智能合約而被定罪的案件。

盡管項目遭受打擊，Nirvana Finance的創始人並未就此止步。他們轉而開發了其他項目，如superposition finance和concordia systems。這也體現了保持一定匿名性的優勢，至少能夠避免負面情緒的轉移。

2024年4月15日，案件迎來宣判。Shakeeb Ahmed因入侵和詐騙兩家加密貨幣交易所被判處三年監禁。隨後在6月6日，被盜資金被轉回團隊指定帳戶，標志着項目被盜資金正式追回。

案件的真正源頭：Crema Finance

實際上，這起案件的源頭應該是Crema Finance。Nirvana Finance是在黑客被捕後主動交代而被鎖定的。當時34歲的Shakeeb Ahmed是一家國際科技公司的高級安全工程師，專門從事智能合約和區塊鏈審計，精通軟件反向工程。這解釋了爲什麼Nirvana即使在未開源的情況下也會被攻擊。反向工程技術允許使用反編譯軟件將編譯過的執行碼還原爲人類可讀的高級語言。盡管相關合約未開源，但智能合約的所有編譯碼都存儲在區塊鏈上，熟悉此技術的開發人員可以輕鬆獲取。

根據美國司法部公開的文件，整個案件的源頭是一個在2022年7月被攻擊並損失約900萬美元的去中心化交易所，經比對應該是Crema Finance。2022年7月4日，Shakeeb Ahmed通過閃電貸攻擊了該平台，並提出了250萬美元的"白帽賞金"以換取歸還其他用戶資產並放棄追訴。最終，Crema Finance同意接受約168萬美元的"白帽賞金"。

關於Shakeeb Ahmed被捕的過程，有兩種可能的解釋。首先，根據SolanaFM的分析，攻擊者要麼與某交易所地址進行交互，要麼與與該交易所相關聯的嵌套交易所地址交互，因爲攻擊地址的初始資金來源於此。其次，Ahmed在使用某混幣協議時可能出現失誤。由於該協議對資金的混淆能力與存入資金的時間長短有關，只有存入足夠長的時間並有較多贖回交易發生，混淆程度才會提高。而在攻擊發生後不久，Ahmed將資金存入該協議後很快就進行了贖回，且贖回的資金最終進入了某中心化交易所。這似乎暗示司法機關是通過與上述兩個中心化交易所合作，最終在紐約定位並抓獲了Shakeeb Ahmed。

無論如何，被盜資金的追回是一個積極的結果。這一事件反映出兩個重要問題：首先，對於DApp開發者而言，資金安全是必須重點考慮的核心問題。其次，此類案件現在有了處理的參照模板，這應該會對相關犯罪行爲產生一定的震懾作用。