('终端屏幕右下角的时间跳到04:17，系统日志提示数据源中断的瞬间，李航的手指悬在键盘上方停了半秒。

“不是网络波动。”他低声说，“是被切掉了。”

周婷立即调出连接监控面板，三条独立信道同时出现延迟飙升，其中一条直接断开。她快速切换至备用路由，重新发起握手请求，反馈结果显示目标服务器拒绝响应。

“有人在清路径。”陈帆走到她的身后，目光扫过流量图谱，“不是随机攻击，是精准剥离。”

李航已经打开日志分析界面，回溯过去十分钟的所有出入站记录。他在一组异常资金确认报文中停下——一笔两百万美元的保证金，在开曼群岛注册的alphaventurepartners账户到账后十七分钟，转入百慕大一家名为baysidecapitallimited的实体，又在九分钟后流向维尔京群岛的thirdhorizonfund。

“三地轮转。”周婷放大时间轴，“每次转移都刚好卡在清算确认窗口关闭前，像是在刷权限。”

“不是刷。”陈帆盯着流转频率，“是在掩盖终点。这钱根本没投出去，它在兜圈子。”

李航调出mac地址追踪结果，比对三次操作的终端硬件标识，发现均不属于团队任何设备。他又接入第104章留存的ip溯源数据库，匹配出三次转账指令均从香港同一idc机房发出，但出口ip动态跳变，无法锁定源头。

“这不是标准交易流程。”周婷启动资金路径重构模块，将swift报文头、银行确认编号和结算时间戳逐一导入模型。几分钟后，系统生成拓扑图：三家离岸公司彼此无股权关联，却共用同一个虚拟结算接口，且该接口的认证证书由一家塞浦路斯金融科技公司签发。

“同控。”李航得出结论，“壳公司在替一个人走账。”

陈帆沉默片刻，下令：“冻结二级通道，所有交易必须经主系统手动确认。同时，在数据库底层植入行为标记，记录每一次外部调用来源。”

命令刚下达，防火墙警报骤然响起。

“ddos攻击。”李航迅速切换至安全控制台，“七千请求每秒，目标是做空模型的加密核。”

周婷同步查看攻击包特征，发现流量并非来自散乱肉鸡，而是集中在几个高带宽节点，且tcp握手存在固定延迟模式——每次重传间隔精确到毫秒级。

“企业级工具。”她说，“能定制协议栈的设备才会有这种节奏。”

第一波攻击持续了四分钟，被自动防御策略拦截。第二波升级为混合型洪流，夹杂伪造会话包试探端口映射规则。系统负载一度突破阈值，关键服务响应延迟达到1.8秒。

“不能再硬扛。”陈帆转向李航，“启用局域网隔离模式，切断公网暴露面。”

李航立刻执行预案，将核心运算模块迁移到内部私有网络，仅保留一条加密隧道用于必要通信。外部接口全部转入休眠状态，攻击流量随即失去目标，峰值骤降。

短暂平静持续不到两分钟，第三波攻击再次袭来。

这次的强度更高，每秒两万三千请求，直扑残留的api入口。更棘手的是，部分数据包携带加密载荷，试图触发未公开的调试接口。

“他们在找后门。”周婷开启行为识别引擎，抓取攻击包指纹，“这些序列不是通用脚本生成的，是有目的的探测。”

李航逐层剥离恶意载荷，提取出一段十六进制编码。他将其输入***，输出结果是一串设备标识符。陈帆看到那串字符时瞳孔微缩。

“这个id……”他声音压低，“顾明远办公室的路由器固件更新日志里出现过。”

“您确定？”李航反问。

“上个月我查他对外联络记录时见过。”陈帆盯着屏幕，“当时以为只是普通设备备案，现在看，是他留下的痕迹。”

周婷立刻调取历史档案，交叉比对发现：该标识符所属的网络设备型号，曾批量部署于高盛亚太区多个办公室，而顾明远任职期间负责过一次区域it升级。

“不是巧合。”她说，“他在用自己的设备打信号。”

攻击暂时退去，系统进入静默监测状态。陈帆没有放松，反而让李航重新加载第104章的风险提示数据——当时系统曾标记某对冲基金与己方操作存在73%行为重合度。

“把托管行信息加进来。”他指示，“特别是清算通道和合规服务商。”