凌晨三点十二分，信息科的走廊像一条被掏空的管道，只有脚步声在墙面上回弹。供述链与会务培训sop把黑箱拆成了骨架，但骨架再清晰，也要落到“可执行的门把手”上：谁在管仓库，仓库的钥匙在哪，仓库里到底放了什么。

周工把白板上的节点图重新整理了一遍，最后在“新仓库回调指挥中心”旁边画了一个更粗的方框，写下两个字：**锁仓**。

“我们现在不是缺线索。”他说，“是缺‘不可撤销’。对方最擅长的就是撤：撤域名、撤服务器、撤群、撤收款主体、撤人。我们必须在他们撤之前把仓库锁死，让撤退变成自证。”

纪检联络员把昨夜封存的sop目录打开，指着“暗渠策略”那一段：“文档里写得很清楚――回调到业务后台，后台再指挥退款出清。所谓业务后台，就是仓库。仓库里至少有四类东西：收集到的个人信息、短链与投流配置、支付对接文档、以及迁移包的资料库。”

罗工补充：“还有日志。只要仓库服务器的访问日志、回调日志、操作日志能保全，就能把人和功能节点扣死。哪怕他们说是外包，日志也会告诉我们谁在登录、从哪里登录、用什么密钥登录。”

护士长推门进来时，手里拿着一杯温水。她没多问，只把水放到桌边，视线扫过白板上密密麻麻的箭头：“今天要动仓库了？”

“动。”纪检联络员说，“但不是盲动。要一次锁住，锁住就不松。”

护士长点点头：“病区这边我会把口径再压一遍。行动期他们会更疯狂发短信、打电话，尤其会用‘你们举报导致资金冻结’这种话吓人。”

周工抬眼：“我们会让他们更难吓人。仓库一锁，所谓内部消息就会断源。断源之后，他们只能靠喊，喊久了没人信。”

系统提示在视野边缘亮起：

锁仓行动：以“不可撤销”为目标，保全仓库四类核心资产

关键资产：个人信息库短链投流配置支付对接文档迁移资料库+全量日志

原则：一次锁住，锁住不松

---

清晨六点四十，锁仓行动的准备会开始。会议没有废话，只有分工与时序。

第一组：证据保全与合规程序。

确保对仓库域名、新api、回调地址、服务器租用信息的取证与保全符合法定流程，形成可入卷的链条。必要时同步境外协查请求，保证数据不会因服务商“例行清理”而灭失。

第二组：技术切断与镜像。

不是直接“拔线”，而是先做镜像：把仓库关键目录、数据库快照、日志链路做固化，再对其回调接口做“限流与隔离”，让它无法继续指挥退款出清与投流迁移。

第三组：资金侧钳制。

对sop中列明的“指定账户白名单”“会务报名费个人代收账户”“退款出清接收账户”执行临时止付与核验升级，同时对聚合支付服务商下发**险商户处置清单，限制深夜退款频次，收紧异常退款阈值。

第四组：线下场地与公众端稳态。

对已知会务活动地点做核验提示，对酒店与商务中心再发一轮“承接风险告知”，同时公告页更新“锁仓行动期间反诈提醒”――不解释细节，只强调三条：不点链接、不转个人账户、不参加收费说明会。

纪检联络员最后定了一个时间点：上午十点零五，开始对仓库回调接口进行“隔离限流”；十点二十，资金侧同步升级；十点四十，公告页发布简短提醒；十一点整，线下场地核验联动启动。

“动作必须同时落地。”她说，“否则对方会从一条缝钻出去。”

---

上午八点二十，供述链给出了一把意外的钥匙。

会务协调员在补充供述时提到：老梁要求他活动结束后把“拍照留档”发到一个“上传入口”，入口页面很简陋，但有一个固定的字段：**项目号**。项目号每场会务都不一样，老梁会提前发给他。

罗工听到“项目号”，眼睛一亮：“这是他们内部管理的索引。项目号可以关联到仓库里的目录结构，也可能关联到数据库表。只要拿到一个真实项目号，我们就能更精确定位仓库路径与权限逻辑。”

会务协调员犹豫了一下，说出最近一次的项目号，并提供了上传入口的截图。截图上除了项目号，还有一个细节：页面底部显示了一个版本号――“v2.7.4”。这不是给普通人看的，而是给内部排查用的。

“版本号意味着这是持续迭代的系统。”周工说，“不是临时搭的页面。持续迭代就意味着有开发、有测试、有运维、有部署。人会更多，供述链会更长。”

罗工把版本号与此前蜜罐捕获的请求头自定义字段进行比对，发现字段命名风格一致，甚至出现同一个缩写前缀。技术指纹再次对齐。

纪检联络员当场追加一条指令：将“项目号”和“版本号”纳入证据包，作为仓库系统的内部标识。锁仓时优先保全与其关联的数据库表与配置文件。

系统提示闪动：

新钥匙：项目号+版本号（仓库内部管理索引系统迭代证据）

价值：精确定位目录表结构权限逻辑，扩展供述链到开发运维

---

上午十点零五，锁仓行动按时启动。

技术组没有粗暴封停仓库域名，而是先在回调链路上加了一道“镜像闸门”：所有回调请求先进入镜像节点，完整复制一份请求与响应，再放行或限流。镜像节点像一面看不见的镜子，让仓库继续运行，却把它的每一次呼吸都记录下来。

十点十二分，仓库回调出现明显异常峰值――大量退款请求试图同时出清，像在抢最后一趟车。系统里出现一串重复的操作模式：同一组账户在三分钟内发起多次退款，金额拆分，备注统一写“合同解除退款”。

“他们嗅到了。”罗工说，“仓库在加速出清。”

周工盯着屏幕：“加速意味着恐慌。恐慌意味着会犯错。”

十点二十，资金侧钳制同步升级。执行端对与“合同解除退款”高频拆分特征匹配的交易触发更严格的延迟清算，要求补充合同编号、退款依据、客户身份核验。聚合支付服务商也同时启用“深夜退款限频”策略，将异常商户的退款频次压到阈值以下。

仓库仍在发命令，但命令落到闸门上，开始被反弹。

十点三十三，仓库回调请求从峰值突然断崖式下降――不是因为他们放弃，而是因为命令不再有效。仓库像一台在空转的机器，仍试图输出指令，但外部水道已经收紧。

“这就是锁仓。”纪检联络员说，“不是砸门，而是把门外的路封住，让门内的人自己撞墙。”

---

十点四十，公告页发布“锁仓行动期间反诈提醒”。没有任何威胁语气，只有三句话：

1）专项整治不影响返还排序，返还以编号核验为准；

2）任何短信链接、所谓内部登记、保证金、补差额均为诈骗；

3）任何要求转账到个人账户的报名费、审核费，一律拒绝并举报。

护士长第一时间把这三句话用同样的顺序在病区群里置顶，并再次开启“管理员发模式”一个小时，给家属群降噪。她知道：行动期最怕的不是骗术升级，而是人群在焦虑里互相放大焦虑。