# RugTrace 调查报告

![Case-level investigation graph](/case-reports/step-finance-treasury-breach-2026-02/graph.svg)

## 1. 执行摘要
本报告基于提供的案例数据，对一起疑似涉及 Step Finance 金库的安全事件进行分析。数据显示，一个被标记为受害者的钱包地址向一个被标记为“合并攻击源”的嫌疑人钱包地址转移了价值约 2700 万美元的资产。该嫌疑人钱包随后被关联到一个被描述为“CEX 转账风险来源”的现金出候选节点。模式匹配分析显示，该资金流动特征与“快速资金 -> 发起 -> 排空”及“协议暴露级联”等多个已知模式存在相似性。需要强调的是，本报告基于提供的图数据和案例级信息，其中部分交易尚未经过链上验证。

## 2. 输入交易
- **签名 (Signature):** `case:step-finance-treasury-breach-2026-02`
- **区块时间 (Block Time):** 2026-05-01T10:19:47.732Z
- **签名者 (Signers):** `Step Finance treasury breach`
- **原生转账 (Native Transfers):**
    1.  **从:** `Step Finance treasury breach` **到:** `Merged attack source` **金额:** 27,000,000 **代币:** USD/SOL **原因:** 报告的金库钱包泄露。
    2.  **从:** `Merged attack source` **到:** `CEX transfer risk source` **金额:** 0 **代币:** SOL **原因:** 来源讨论了 CEX 转账恢复风险，并非确认的交易所归属。
- **程序交互 (Program Interactions):** 与 `Step Finance` 程序存在交互。

## 3. 受害者侧资金流
根据提供的图数据，资金从受害者钱包 `Step Finance treasury breach` 流出。
- **流出:** 一笔价值 27,000,000 USD/SOL 的资金被转移至嫌疑人钱包 `Merged attack source`。
- **解释:** 此转移被描述为“报告的金库钱包泄露”的结果。这是案例中记录的主要资金流出事件。

## 4. 嫌疑人侧资金流
根据提供的图数据，资金流向嫌疑人钱包 `Merged attack source`。
- **流入:** 接收了来自受害者钱包的 27,000,000 USD/SOL。
- **流出:** 与一个被标记为 `CEX transfer risk source` 的现金出候选节点存在关联。提供的原生转账显示金额为 0 SOL，但图中的边标签为“exchange”。
- **解释:** 该嫌疑人钱包被标记为案例级可疑流动的聚合点。其与 `CEX transfer risk source` 的关联被描述为“来源讨论了 CEX 转账恢复风险”，这表明存在资金流向中心化交易所的潜在路径，但此关联并非基于已确认的链上转账。

## 5. 涉及钱包
| 节点 ID | 标签 | 角色 | 风险评分 | 备注 |
| :--- | :--- | :--- | :--- | :--- |
| `victim-step-finance-treasury-breach-2026-02` | Step Finance treasury breach | 受害者 | 0.35 | 报告的金库钱包泄露事件。 |
| `case-step-finance-treasury-breach-2026-02` | Merged attack source | 嫌疑人 | 0.92 | 案例级合并节点，来自源链接的交易和实体。 |
| `entity-step-finance-treasury-breach-2026-02-2-cex-transfer-risk-source` | CEX transfer risk source | 现金出候选 | 0.52 | 来源讨论了 CEX 转账恢复风险，并非确认的交易所归属。 |
| `entity-step-finance-treasury-breach-2026-02-1-solscan-search` | Solscan search | 中间节点 | 0.52 | 用于在识别出已验证的金库或目标钱包时进行搜索。 |

## 6. 证据表
| 签名 (Signature) | 从 (From) | 到 (To) | 金额 (Amount) | 代币 (Token) | 解释 (Interpretation) |
| :--- | :--- | :--- | :--- | :--- | :--- |
| `case:step-finance-treasury-breach-2026-02` | `victim-step-finance-treasury-breach-2026-02` | `case-step-finance-treasury-breach-2026-02` | 27,000,000 | USD/SOL | 报告的金库钱包泄露 |
| `case:step-finance-treasury-breach-2026-02` | `case-step-finance-treasury-breach-2026-02` | `entity-step-finance-treasury-breach-2026-02-2-cex-transfer-risk-source` | 0 | SOL | 来源讨论了 CEX 转账恢复风险，并非确认的交易所归属 |

## 7. 模式匹配
系统识别出以下与当前案例资金流特征相似的模式：
1.  **协议暴露级联 (Protocol Exposure Cascade):** 相似度 84%。证据包括：快速移动、已知 Solana 程序交互、大额单跳移动。
2.  **快速资金 -> 发起 -> 排空 (Fast Fund -> Launch -> Drain):** 相似度 75%。证据包括：快速移动、已知 Solana 程序交互、大额单跳移动。此模式在多个历史案例库中被匹配。
3.  **分裂与分散退出 (Split-and-

## 6. Evidence Table
| Signature | From | To | Amount | Token | Timestamp | Interpretation |
|---|---|---|---:|---|---|---|
| `case:ste...026-02` | `victim-s...026-02` | `case-ste...026-02` | 27000000.000000 | USD/SOL | unknown | reported treasury wallet compromise |
| `case:ste...026-02` | `case-ste...026-02` | `entity-s...source` | 0.000000 | SOL | unknown | Source discusses CEX-transfer recovery risk, not confirmed exchange attribution. |