利用Meme幣洗白Rug Pull項目資金，揭祕PEPE操盤手真身

2023-10-11 00:10:39

原文 | NFTethics

整理 | Odaily星球日報

如果你是 Meme 幣愛好者，一定聽過今年最火的項目 PEPE 的大名，並且可能也聽過相關的財富神話。比如，一些所謂的「 Smart Money」地址自 PEPE 發行之初花費 100 美元买入且從未下車，最終收益幾萬倍（鏈上數據可以證實）。

普通人為什么無法成為最早上車的一波人，抓住「萬倍幣」？因為，這類項目獲利最多有且只有操盤手，他們可以买在谷底並在山頂逃走；甚至於，這類 Meme 項目創立初衷，也只是幫一些黑錢洗白。

最近，X 平臺（原 Twitter ）用戶「NFTethics」刊發了多條長文，通過縝密的鏈上分析以及各類佐證，確定了 PEPE 背後操盤手的真實身份。總結一下其推文相關要點，如下：

一、 2021 年 11 月 Rug Pull 項目 AnubisDAO 的資金，借助今年大火的 PEPE 項目洗白，而在背後操盤的是匿名且知名 DeFi 投資人 Sisyphus 。

一、Sisyphus 真實身份是 OpenSea Ventures 負責人 Kevin Pawlak，現在生活奢靡；

二、Sisyphus（即 Kevin Pawlak ）是 AnubisDAO 項目背後真正的主導者，其通過黑客手段獲得了當時項目管理者私鑰並轉移了資金，成功找到替罪羊「甩鍋」，逍遙法外。

最新的消息是，OpenSea 發言人對此事作出回復：“Kevin Pawlak 於 2023 年 6 月離職，在 OpenSea 期間工作範圍有限，擔任非管理職位，不知道他是否參與 AnubisDAO Rug 事件。此外，我們與相關項目沒有任何聯系，也沒有相關信息，因為這些項目是在他加入 OpenSea 之前進行的。”

一、Anubis 項目 Rug 資金借助 PEPE 拉盤洗白

時間回到 2021 年 11 月，OlympusDAO 的仿盤項目 AnubisDAO（代幣 ANKH）在進行了 LBP（流動性引導池）後籌集了 13256.4 ETH（彼時價值約 5700 萬美元）。但很快，管理人員發現這些資金被轉至另一個新地址中，此時 LBP 已經進行 20 個小時，尚未到達結束時間。

我們故事的主人公 Sisyphus 在 AnubisDAO 中扮演什么角色呢？明面上是項目的宣傳大使，暗地裏卻是主導者（後文會介紹）。

在 AnubisDAO 資金被卷走前一天，Sisyphus 還在 Discord 社區中大肆鼓吹該項目，並且宣稱自己已經买了 42 萬美元（記住這個知識點，要考），接下來還會买更多；並且，為了打消大家的後顧之憂，Sisyphus 還表示這個項目永遠不會 Rug，即便开發不順利，最後大家也會拿回本金。

（Sisyphus 社區營銷錄音）

結果，第二天，項目真的 Rug 了。Sisyphus 第一時間寫了長篇小作文，撇清自己的責任，同時表示已經和美國和中國香港的執法機構接觸，呼籲黑客盡快還錢。此後，Sisyphus 就沒了下文，也不再更新 AnubisDAO 相關動態，似乎 42 萬美元真的只是一筆小錢。

當然，黑客也沒有歸還 AnubisDAO 被盜資金。在過去近兩年中，這些被盜不斷轉入各類混幣器以及無需 KYC 的平臺進行洗白。其中一個錢包（Anubis Rug 3）地址，就與塞席爾一家無需 KYC 的平臺 FixedFloat 進行交互——該錢包 Gas 由 FixedFloat 發送。如下所示：

（Anubis Rug 3）

有意思的是，PEPE 項目早期持有者的啓動資金也是來自 FixedFloat 平臺，比如 Zach Testa（账號：DegenHarambe）以及 Max Zim（账戶：SumFattyTuna ) 。特別是 Zach Testa，在 4 月 14 日 PEPE 代幣合約發布僅僅幾分鐘就买入了，隨後發布項目推文；3 分鐘後，Max Zim 立刻轉發推文並且同樣买入 PEPE。整個過程看起來非常絲滑，似乎一切看起來就像是排練好的。

而 Sisyphus 與 Zach Testa 以及 Max Zim 之間的關系非常密切，有消息稱 Zim 是 Sisyphus 的前室友。在 AnubisDAO Rug 之前，Sisyphus 的錢包就曾與 Zim 進行過轉账互動；並且，二人還曾一起參與節目訪談——Sisyphus 沒有真人出鏡。

（錢包互動紀錄）

4 月 17 日，Sisyphus 發布推文稱，“周末有人用一種名為「pepe」的代幣將 0.02 ETH 變成成 63 ETH”，並貼出了 0x 5 DD 开頭的某地址。Zim 立即回應了 Sisyphus 的帖子，二人進行了互動。

有意思的是， 0x 5 DD 开頭的地址，在 4 月 7 日收到了來自 FixFloat 平臺的啓動資金。另外， 4 月 7 日這一天，還有另外一個版本的「PEPE」代幣（為了區分稱為 aPEPE）也進行了首發，與目前大家熟知版本的 PEPE 有着相同的合約以及同一早期批持有者。比如，Zim 就在 4 月 7 日 aPEPE 發售之初入場購买了——但他卻在後面的社區採訪中說自己此前從沒有聽過 PEPE。似乎，從一开始，Zim 就知道 PEPE 幣要漲。

（Zim 做客節目稱自己第一次知道 PEPE）

巧合之處遠不止上面這些。當 Anubis Rug 3 錢包轉账 3000 ETH 後 2 分鐘，Zim 錢包地址开始進行鏈上交互买入 PEPE；並且調查發現，與 Anubis Rug 關聯的錢包處於活躍狀態轉账時，Zim 錢包似乎都在進行與 PEPE 有關的操作。

（Zim 錢包與 Anubis Rug 錢包同頻活躍）

另外，Anubis 資金主要通過 Stake 等平臺進行洗錢；而與 PEPE 有關的資金錢包地址，也在 PEPE 上线日（4 月 14 日）後將大量資金轉移到 Stake，並從 Stake 轉移到 FixFloat。並且，Anubis 被盜資金大部分在今年 3 月～ 7 月轉出，與 PEPE 生長周期基本重疊/同步，二者之間存在極深的關聯，被盜資金可能通過炒作 PEPE 洗白。

關於 Anubis 被盜資金完整去向，還需要一些 CEX、OTC 平臺聯手行動——有一部分資金流入了需要 KYC 的平臺。Anubis 被盜資金與 PEPE 炒作究竟有沒有關聯，還需要更多證據驗證。

補充一個細節，今年 8 月， PEPE 團隊內訌，幾名前成員私自刪除多籤權限拋售代幣，最後官方發了一張含糊其辭的公告。

二、Sisyphus 主導 Anubis，並設計自行 Rug

博主「NFTethics」獲得了 Anubis 資金被盜前幾天該團隊成員的內部聊天日志。

根據調查推理，Sisyphus 似乎是該項目背後真正的首腦，幾乎所有事情都需要他的批准和籤署，包括每條發布推文的確切措辭以及每個技術/財務問題。而且，項目 Rug Pull 似乎也是 Sisyphus 自導自演，並成功讓另一位成員「Beerus」為此背鍋。

（團隊分工）

在團隊分工表中，Sisyphus 對自己的定位是「負責對外公關並幫助將 DAO 成員團結在一起」，但實際上他是負責人進行發號施令。

團隊成員「AureliusBTC」在聊天中說：“我們中沒人真正了解 LBP（流動性引導池），但只要 Sisyphus 懂就行了。”。當另外一位成員「Beerus」發帖對外官宣有新成員加入 Anubis 時，Sisyphus 立即指示他刪除該推文，Beerus 照做了。並且，Sisyphus 還在聊天記錄中表示，自己與 Alameda Research（SBF 旗下加密公司）有聯系，並且對方也購买了 Anubis 的代幣 ANKH。

（Sisyphus 介紹 LBP 相關情況）

讓我們把目光收回到 Anubis 被抽幹流動性這件事。事件發生後，Sisyphus 對外聲稱，「DAO 成員同意讓 Beerus 部署 LBP，因為他們要么沒空，要么不想負責」。但在內部聊天中，沒有證據支持這一說法——事實上，Sisyphus 最开始提到他們用的是「有史以來最好的多重籤名」，而在後面聊天中他卻說自己沒辦法籤字授權——因此，猜測他可能是通過這種方式將原來的多籤改成由 Beerus 單獨負責，從而為後面攻擊埋下伏筆。接下來故事的時間线如下：

10 月 28 日深夜，Sisyphus 提到自己要睡覺了，打算睡 6 個小時，最後一條訊息停留在 00: 16 ；
第二天早上加入聊天時，時間是上午 07: 18 ，中間還在群裏回答了幾個問題；
07: 20 ，掌握着 LBP 管理權限的「Beerus」的郵箱，收到一封來自 Sisyphus 電子郵件地址的電子郵件——包含一份帶有 SAFT（未來代幣簡單協議）的 PDF——Beerus 在案發後提到，這個 PDF 含有木馬病毒，損害了自己電腦並竊取了 LBP 管理權限；
07: 26 ，Sisyphus 與 Beerus 溝通交流了一段時間，並提醒後者在 LBP 結束前保持清醒，一直交流到 07: 44 ，此時距離 LBP 結束還有 4 小時；
07: 48 ，LBP 資金耗盡，所有 ETH 被管理账戶提取到一個新地址，僅留下一堆沒有價值的 ANKH 代幣。

根據事後調查， Copper 平臺和 Balancer 的智能合約均未被攻破或破壞。也就是說，LBP 創建者的 Beerus 錢包帳戶要么像他說的一樣被入侵，要么就是自導自演。而 Sisyphus 則聲稱，自己的電子郵箱地址從未發過這個郵件。

（Beerus 稱自己收到病毒郵件）

到底誰在說謊？我們從一些側面信息進行推論。首先，不只有 Beerus 收到郵件，其他 VC 聯絡人都收到了——所不同的是，Beerus 是在上午 07: 20 收到 PDF 電子郵件，而其他人遲了半小時，有的甚至遲了好幾個小時。一個可能的解釋是，攻擊者群發郵件是為了混淆攻擊目標，而且還提前預留了讓 Beerus 打开 PDF 攻擊計算機的時間。

再者，事後對其他收到的 PDF 進行分析時，沒有可見的反欺騙警告。 SPF 不會標記 Gmail 地址，除非該地址實際上並非來自 Gmail；根據照片，該地址很有可能發送了實際的電子郵件。換句話說，這些電子郵件真的是從 Sisyphus 真實電子郵件地址發出的——而 Sisyphus 信誓旦旦說自己沒發送過郵件，還在群裏裝傻地問「這是什么意思」。

另外，對其他人電子郵件分析發現，沒有裝載木馬病毒——實際上可能只有 Beerus 的才有病毒，事後他也向香港警方提交了自己的電腦以證清白（目前沒有最新進展，事件似乎不了了之）。

問題來了，攻擊者是怎么知道 Beerus 掌握 LBP 管理權限？除了一些內部人士之外，沒有人知道 Beerus 是（唯一）擁有控制權的人。事實上，Anubis 團隊成員 Convex 就在群聊中提到了這一點：“為什么 Beerus 甚至會收到惡意軟件？他成為攻擊目標是沒有意義的。衆所周知，我和 aureliusBTC 才是开發人員，更像是掌握私鑰的。外人根本不清楚 Beerus 的具體情況。 ”

有意思的是，Sisyphus 還追問 Beerus：“夥計，你點擊了什么？”這時，Beerus 還沒有跟大家透露他點擊了那個惡意電子郵件 PDF，其他人都不知道，Sisyphus 又是怎么知道的？

在 LBP 資金池被抽幹後，Sisyphus 指責 Beerus 對項目實施了 Rug，並說「你把我的名聲毀了」。並且，Sisyphus 還發布了攻擊者的 IP 位址，並提到它來自 Beerus 居住的香港——實際上，這個 IP 地址來自通過第三方 VPS 供應商，可以租用不同地區服務器，不具備參考價值。後來，Beerus 被投資者人肉出真實身份，系是香港賽馬界的知名人物張順正的兒子，時年 19 歲。

還有一個細節，前文中提到的 PEPE 早期參與者 Max Zim，也參與了 Anubis 這次的發售。事後，他還在 Twitter 上為 Sisyphus 辯護，畢竟二人關系莫逆。

三、Sisyphus 再开小號，真身系 OpenSea Ventures 負責人 Kevin Pawlak

誠如我們前文所說，號稱在 Anubis 項目上投資了 42 萬美元的 Sisyphus，在項目 Rug 後一點也不失落。在發了一篇小作文撇清自己的責任後，就不再關注後續進展。

11 月 6 日（攻擊發生一周），Sisyphus 在 Twitter 上再开了另一個账戶，化名「0x Magallan」（現在已注銷）。該账戶在過去兩年中異常活躍，累計發文超過 5000 條，參與各種項目營銷，账戶包含 ferdinand-magellan.eth 和 ukrainedonations.eth 兩個錢包地址。

實際上，Sisyphus（Kevin Pawlak）有爭議的地方還有很多。比如，他曾經購买價值昂貴的 NFT Etherrock 72 ，並將其在 NFT 碎片化協議 Fractional 進行碎片化為 PEBBLE 代幣，並以極高的溢價出售。以 ETH 計價，PEBBLE 代幣據高點跌幅超 99% 。該項目已於 2023 年關停，結束所有業務；PEBBLE 的官網 pebble.xyz 也已經過期，處於售賣階段。

似乎一直以來，都沒人見過 Sisyphus 以及 0x Magallan 的真身，網上也從沒有相關資料。不過，「NFTethics」還是通過各種鏈上信息以及多個來源確認了其真實身份，系 OpenSea Ventures 負責人 Kevin Pawlak。

Kevin Pawlak

首先，pawlak.eth 和 sisyphus.eth 地址上的時間戳完全匹配。鏈上數據顯示，他們都在間隔 1 分鐘內鑄造了 Zorbs (ZORB)，並且他們還在 10 分鐘內鑄造了 sismo.eth DAO (SDAO），同時其他鏈上操作間隔時間也很短，账戶基本同頻活躍。

有意思的是，Kevin Pawlak 還經常用「Sisyphus」這個小號，發表一些對 OpenSea 的批評帖子——也許是想給他們施加一些壓力，讓 Opensea 能夠推出一個他能從中受益最多的項目，也許只是發發牢騷。

包括 The Block 的記者 Tim Copeland 在內的更多人證實，Sisyphus 的真實身份確實是 Kevin Pawlak——實際上他的身份在小圈子裏衆所周知。現在，他將錢包重命名為 pawlak.eth。錢包地址為： 0xBB5BB336d1Db8471B77F936C210B15fa2A5b3cbb 。

Kevin Pawlak 很聰明，是英特爾科學人才半決賽選手，擁有化學工程學位，想成為外科醫生/科學研究人員，但認識他的人提到了他的陰暗面：無情、不道德、反社會，可以毫無良心/悔恨地撒謊。

去年 10 月，Kevin Pawlak 以 330 萬美元購买了紐約的另一處房產。據消息人士稱，Kevin Pawlak 最近在法國購买了一輛勞斯萊斯和蘭博基尼（價值超過 100 萬美元），並在私下裏炫耀他的財富和奢侈的生活方式。