木星链 木星链
Ctrl+D收藏木星链

加密货币:白帽救援的两难选择:仅通知项目方还是直接转移资产?

作者:

时间:1900/1/1 0:00:00

原文标题:《MeettheVigilantesWhoHackMillionsinCryptotoSaveItFromThieves》

原文作者:LorenzoFranceschi-Bicchierai

编译:郭倩雯,链捕手

3月9日清晨,LP仍在睡梦中,突然开始收到Telegram的电话。据她说,这绝不是一个好兆头。她穿着系扣睡衣,拉开卧室窗帘,从毯子中扯出笔记本电脑,戴上隐形眼镜。现在是时候去拯救别人的加密货币了——先黑掉他们。

LP是一位拥有博士学位的工程师,曾在硅谷一家律师事务所工作,目前是网络安全公司RugDoc和PaladinBlockchainSecurity的创始人,为保护隐私她不愿使用真实姓名。她想让大家知道,加密货币不仅意味着“住满好人的地下室”这样的场景。

打电话的是她的一个同事,他告诉她有人对一个叫Fantasm的加密货币协议的投资者进行攻击,当时该协议有数百万美元的流动性资金已被投资者锁定。

等她清醒过来,打开笔记本电脑,就开始与两位同事合作,试图击败黑客,尽可能多地挽救加密货币。在加密货币的世界里,由于区块链具有不可逆性,被盗的资金通常会永远消失,要拯救资金意味着需要先于窃贼进行黑客攻击。

LP说:“这些抢钱的人能找到非常容易的方法来利用漏洞,然后突然间,数百万的美元就被盗走了。”

Curve及白帽从ETH/CRV池抢救出约70万美元,将转至分配合约供LP领取:8月5日消息,Thunderhead联合创始人Addison发推称,自己和OtterSec创始人Robert Chen、Curve团队以及epheph一起从ETH/CRV池中通过白帽攻击抢救了约70万美元(371枚ETH和9.25万枚CRV)。资金已被发送到由veCRV选民控制的Aragon合约,将被转移到一个分配合约,供流动性提供者领取。[2023/8/5 16:20:31]

与黑客的竞赛开始了。LP的同事已经发现了黑客正在利用的漏洞,在他的帮助下,LP写了一系列智能合约,为的是先黑客一步利用该漏洞。

“好吧,我们救了你们一命,你们应该给我们点东西。”

由于区块链上行动公开,黑客事件很快愈演愈烈。LP和同事的白帽行动几经波折,被记录在区块链上,黑客也能注意到他们的活动。这时,其他投机的黑客看到了正在发生的事态,甚至也开始借机大赚一笔。但最终,LP和她的两位同事成功挽救数万美元,并帮助该项目修复漏洞,阻止了黑客的攻击。然而,据LP说,黑客仍然净赚大约800个ETH,截至目前价值约150万美元。

“很多人都遭遇了损失,这不是最好的结局,但它也没有发展至不可挽回的状态。”LP说。

据LP说,整个操作持续了大概半个小时。

JPEG'd已收到白帽黑客返还的5494.4枚WETH:8月5日消息,DeFi公共产品JPEG'd发推称,DAO多签地址确认收到5494.4枚WETH,从pETH漏洞中追回资金的地址所有者获得了10%(610.6枚WETH)的白帽赏金。[2023/8/5 16:20:11]

白帽黑客

“白帽黑客”的出现可追溯至互联网发明之初,最初来自西方电影中“好人戴白帽,坏人戴黑帽”的设定。在网络安全的世界中,白帽黑客被公认为是正义的黑客,比如LP。

但是,在加密货币的世界中,白与黑并非界限分明。

一些黑客利用漏洞偷取资金,再公开宣称,只要得到奖励,就会把资金归还。比如在PolyNetwork遭遇的怪异黑客事件中,该公司反复公开恳求黑客,称他们为白帽子先生,之后他们便归还了被盗的加密货币——大约6亿美元,还有最近的Multichain黑客事件也是一例。我们无法确定这些案例中的黑客是否从始至终都是头戴白帽,也许他们在盗窃之后改变了想法,毕竟这些资金放在他们的加密钱包里,举世瞩目,压力倍增。

也有像LP这样的“白帽黑客”,他们猛烈发起攻击,挽救资金,常常与邪恶的黑客赛跑,有时未经目标钱包或加密货币协议用户的同意。这些黑客始终持有的意图是将资金返还给其合法所有者。

这个词首次在这种语境下流行也许是在2016年,当时自称罗宾汉小组的志愿者程序员与从DAO中窃取数百万美元ETH的黑客展开竞赛,DAO是当时加密货币领域最有前景的组织之一。当时,该组织击败黑客,拯救了大约1500万美元的ETH,这一事件被广泛称为“白帽黑客事件”。第二年,这个团体,现在自称为白帽集团,在以太坊客户Parity被黑之后,挽救了2亿美元的加密货币。

Arbitrum生态借贷协议Tender.fi疑似遭白帽黑客攻击,160万美元资金受到影响:3月7日消息,Arbitrum 生态借贷协议 Tender.fi 疑似遭受攻击,官方在社交媒体上发文表示,目前正在调查该协议异常数量的借贷,已暂停所有借贷。

据 0xScope 研究员 Cobie 分析称,本次事件为白帽黑客所为,其留言表示 Tender.fi 的预言机配置有错误,试图与 Tender.fi 取得联系,目前初步预估有 160 万美元资金受到本次事件影响。

Uniswap数据显示,TND暂报2.2931美元,24小时跌幅为26.5%。[2023/3/7 12:47:32]

近来,伴随着针对加密货币协议和用户的黑客攻击,这种做法变得更加频繁。根据区块链网络安全公司Immunefi的报告,就在今年前三个月,黑客和子已经盗取了大约12.3亿美元的加密货币。

Motherboard采访了包括LP在内的五个人,他们称有参与这种白帽活动的直接经验。

区块链安全公司Zellic的联合创始人StephenTong在一次在线聊天中告诉Motherboard,“在Web3中,白帽黑客被视为英雄而受到追捧。这绝对是一个双赢的局面。人们认可这一行为,因为如果我不做,那么还有谁会去做?至少我比一些黑帽子好。这就是我们的心态。”

DODO:白帽攻击者愿意归还资金,希望联系机器人攻击者归还资金:据去中心化交易所DODO官方公告,新加坡时间3月9日早晨,DODO部分资金池被攻击,团队发现后立即开始了调查。Paradigm安全研究员Samczsun、Tina甄、安全公司派盾、安全公司慢雾以及币安提供的安全顾问正与DODO团队协同进行调查、追踪资金。DODO将目前的进展同步与社区:

DODO发现了两个攻击者,分别是白帽攻击者和机器人攻击者。

白帽攻击者已经通过Samczsun联系我们,表示愿意归还部分资金(这也是为什么我们认为他是白帽)。

机器人攻击者的动作看起来很像自动frontRun机器人。

-精心构造的前缀为0x0000的合约地址;

-用chi gas token;

-极高的gas price —— 从2000gwei起自动提高到 93,148 gwei;

机器人比成功的白帽攻击提前十几分钟。

我们认为这次攻击中没有坏人。但是需要联系FrontRun机器人的所有者,希望他能归还这部分资金。[2021/3/9 18:28:53]

白帽黑客在未经同意下窃取他人钱包或协议,这一行为在法律上是否正当尚不明晰。

研究加密货币问题的律师PrestonByrne在一封电子邮件中告诉Motherboard:“白帽黑客虽然高贵,但若没有行动目标的同意,这一活动还是充满风险。披露漏洞是一回事,无论出于何种原因侵犯第三方资金所有者的权利是另一回事,如果目标人物因一些原因对黑客行为不满,黑客可能要承担民事和刑事责任。”

动态 | 白帽黑客在过去7周通过修复加密货币项目漏洞赚取超32150美元:据thenextweb报道,在过去的七周里,白帽黑客通过修复加密货币项目和区块链平台(如TRON、Brave、EOS和Coinbase)的安全漏洞,至少赚取了32150美元。根据Hard Fork的数据,在3月28日至5月16日期间,共15家区块链相关公司向安全研究人员支付了奖金,其中包括共30份公开发布的漏洞报告。[2019/5/20]

最终结果可能取决于未经同意下被白帽黑客取走加密货币的组织或个人的想法。

Preston说:“白帽/灰帽黑客的问题是,有的活动目标可能会感谢他们告知漏洞,但有的人则可能会大发雷霆,打电话给警察。当白帽黑客发现智能合约系统中的漏洞时,最好的办法是私下通知开发人员,然后就这样了——你不是超人,拯救世界不是你的责任。”

白帽黑客的做法涉及从用户甚至是黑客的钱包中获取加密货币,这可以与有争议的反击黑客概念相比较。在网络安全领域,反击黑客基本指的是数据泄露的受害者试图自行恢复被盗文件,收集黑客的行踪和身份信息——以进行黑客攻击。尽管这一行为充满争议,但对黑客的反击的确存在,但鉴于法律风险,是秘密进行的。

一些加密货币世界中的白帽活动参与者试图避免被起诉的风险。

EmilianoBonassi是一名区块链网络安全研究员,他也参与了几次白帽行动。在去年的一个案例中,加密货币投资平台PrimitiveFinance用户的钱包被暴露,任何一个会利用漏洞的人都能进行访问。

“我们能够拯救该协议用户的唯一方法是把他们钱包里的资金抽走,然后通知他们。所以这是你可能遇到的最糟糕的情况,因为你基本上要抽走用户的资金。”Bonassi在电话中告诉Motherboard。

Bonassi与Immunefi创始人MitchellAmador以及加密货币网络安全公司Dedaub的研究人员一同工作,都是本案的中间人。最重要的是,根据白帽黑客的事后调查,PrimitiveFinance公司的员工从一开始也参与了救援。

与LP不同的是,Bonassi和他的同事没有使用自己的钱包来保存资金,只是向协议开发者展示了如何进行白帽攻击。

“我们向他们演示如何执行,我们开发了执行脚本,做了模拟,然后和他们说,我们支持你,你执行吧。如果一切出错,我们会采取行动。”

一些区块链网络安全研究人员充分意识到风险存在——使用自己钱包,且未经钱包所有者或协议构建者的同意就对有漏洞的钱包进行攻击,这些行为是充满风险的。

一位网络安全研究人员在接受Motherboard采访时要求匿名,正是因为在拯救他人加密货币时使用钱包是有风险的,他说过去他在一些情况下这样做过。

“这挺让人担心的,所以也许我也不该抛头露面。现在整个行业都有点紧张,这也是为什么我不再积极参与这些活动了。”该研究人员在电话中告诉Motherboard。

另一些人则是完全不使用自己的钱包。

“我的个人原则是,我永远不会独自发送交易。我也绝对不会托管他人资金。Samczsun是在加密货币投资公司Paradigm工作的安全研究员,他在电话中告诉Motherboar,“我的原则是我提供给你所需的一切信息,让你尽快掌握情况,然后把决定留给你做。我自己不会介入并强行接管整件事,如果你想让我帮忙,我就会帮忙。如果你愿意自己处理这个问题,那我很乐意站到一边,让你来处理。”

“对我个人来说,如果要暂时地获得并处置九位数的资产,这样的事件我是不太愿意调查的。”Samczsun曾参与过几个白帽黑客活动,拯救了数百万的加密货币。“所以如果可以的话,我会完全避免这种情况。我不确定《好撒玛利亚人法》是否也适用于区块链,这一法律鼓励人们在紧急情况下帮助处于危险或困境的人,而不必担心如果他们无意中造成伤害或死亡而被起诉。”

Preston认为Samczsun的做法是正确的,因为《计算机欺诈和滥用法》会对造成损失的行为进行处罚,如从某人的钱包中拿走加密货币,即使这不是欺诈。

“如果你决定自己独自处理,那为了避免受到怀疑,你也绝对不应这样做。这是在玩火,记住,你有可能会引起检察官的注意。”Preston说。

“我们能够拯救该协议用户的唯一方法是将资金从他们的钱包中抽走。”

在Chainalysis上个月组织的一次会议上,纽约县地区检察官办公室的网络犯罪和身份盗窃局局长ElizabethRoper说,白帽黑客是法律上“真正的灰色地带”,它可能是检察官可能想要关注的领域。

Roper?说:“如果它最终拯救了平台上的每个用户和大量资金,而且做这件事的人立即公开了事件,也许我们不会使用资源来起诉它。但还是要重申,这需要根据具体案例讨论。”

被问到是否会担心遭来无妄之灾时,LP说通常她参与的加密货币项目规模较小,甚至不在美国境内,所以她做了风险评估,认为提供帮助也不会面临控诉风险。

LP说,“遭到控诉是不太可能的,但是我却非常可能挽救他人资金,确保他们不会完全破产,那对他们来说会是非常糟糕的日子。”

对白帽黑客来说,一个更可能的结果是他们为造成的“麻烦”获得奖励。Fantasm案件并不是LP和她在RugDoc的团队唯一的一次挽救行动。在那个案例中,他们并没有要求奖励。但在其他时候,他们有所要求。

“如果是一个大型、臭名昭著的项目,它们还有剩余资金,我们就会说。‘好吧,我们刚刚在这里救了你们一命,你们应该给我们一些东西。’”LP说。

Bonassi说,若官方没有漏洞赏金,通常的标准奖励是本会被盗资金的10%。但他过去也在没有任何补偿的情况下参与过白帽攻击,这是因为他想要帮助被涉及的加密货币项目,更是想要为整个生态系统献一份力。

白帽黑客行动对Bonassi来说不仅是为了阻止潜在的黑客,它也是一个人人都可参与的学习机会。

奖励越大,研究人员就越受到鼓舞,愿意去寻找和报告漏洞。

他说,“我们最初悬赏1万,然后是10万。现在我们有100万、1000万的漏洞赏金。可能在明年,我们将看到数亿、数十亿的奖金。因为Web3和其他行业不同,在这里黑客攻击在短短几秒内转瞬发生,却可获利无限。因此,我们需要推举大型激励措施,保证系统安全。"

标签:加密货币ETH区块链THE美国加密货币togetherbnb礼物好感度区块链dapp开发一个多少钱The Last McAfee Token

币安app官方下载最新版热门资讯
加密货币:AC对话Delphi :走出加密荒地,进入合规未来

作者:DelphiMedia,AndreConje编译:DODO研究院原播客地址:https://www.youtube.com/watch?v=o7TRvQNe94k&t=2359s铸.

1900/1/1 0:00:00
ENT:虚拟房地产市场 Parcl 完成 400 万美元种子轮融资,Framework Ventures 领投

链捕手消息,虚拟房地产市场Parcl完成400万美元种子轮融资,FrameworkVentures领投.

1900/1/1 0:00:00
OPTI:Optimism 撰文反思空投事件:严重低估流量,将提升沟通透明度与服务冗余

链捕手消息,Optimism官方撰文反思OP空投中出现的高负载导致主网和远程过程调用出现严重延迟等现象,并表示内部团队正在与合作伙伴和基础设施提供商密切合作.

1900/1/1 0:00:00
WEB:深度解析Web3网络效应:五种心智模型

编译:ChinaDeFi,星球日报在过去的十年里,网络效应推动了Web2平台的崛起,也奠定了其主导地位,同时激发了建设者和投资者的想象力.

1900/1/1 0:00:00
VIA:欧易的B面

作者:Lesley,链捕手?“烧不死的鸟,是凤凰”。这是2020年年底,所有欧易人都铭记于心的一句话。一、至暗:与风暴共舞“加密行业就如同汪洋大海,而加密公司就如同一艘艘在海面上行驶的船.

1900/1/1 0:00:00
NFT:对话NFT社交平台Atem:为NFT社群打造的专属Discord

作者:0x137,律动BlockBeats在Stepn后,我们看到了各种X2Earn应用,在律动BlockBeats看来,Stepn的火热打响了Web3应用崛起的第一.

1900/1/1 0:00:00