原文標題:《MeettheVigilantesWhoHackMillionsinCryptotoSaveItFromThieves》
原文作者:LorenzoFranceschi-Bicchierai
原文編譯:郭倩雯,鏈捕手
3月9日清晨,LP仍在睡夢中,突然開始收到Telegram的電話。據她說,這絕不是一個好兆頭。她穿著系扣睡衣,拉開臥室窗簾,從毯子中扯出筆記本電腦,戴上隱形眼鏡。現在是時候去拯救別人的加密貨幣了——先黑掉他們。
LP是一位擁有博士學位的工程師,曾在硅谷一家律師事務所工作,目前是網絡安全公司RugDoc和PaladinBlockchainSecurity的創始人,為保護隱私她不愿使用真實姓名。她想讓大家知道,加密貨幣不僅意味著“住滿好人的地下室”這樣的場景。
打電話的是她的一個同事,他告訴她有人對一個叫Fantasm的加密貨幣協議的投資者進行攻擊,當時該協議有數百萬美元的流動性資金已被投資者鎖定。
等她清醒過來,打開筆記本電腦,就開始與兩位同事合作,試圖擊敗黑客,盡可能多地挽救加密貨幣。在加密貨幣的世界里,由于區塊鏈具有不可逆性,被盜的資金通常會永遠消失,要拯救資金意味著需要先于竊賊進行黑客攻擊。
OpenSea向兩名發現漏洞的白帽黑客各獎勵10萬美元賞金:9月28日消息,OpenSea 已向兩名發現漏洞的白帽黑客獎勵 20 萬美元賞金。其中一人是安全公司 Zellic 的安全專家兼首席營銷官 Corben Leo,其通過漏洞賞金平臺 HackerOne 發現了一個關鍵的 OpenSea 漏洞,并表示該漏洞可能會被利用以盜取資產;另一名白帽黑客名為 Nix,未透漏有關漏洞的信息。兩人各獲得了 10 萬美元的賞金獎勵。OpenSea 發言人證實了賞金的真實性并表示已經發布了針對漏洞的補丁。(The Block)[2022/9/28 22:37:27]
LP說:“這些搶錢的人能找到非常容易的方法來利用漏洞,然后突然間,數百萬的美元就被盜走了。”
與黑客的競賽開始了。LP的同事已經發現了黑客正在利用的漏洞,在他的幫助下,LP寫了一系列智能合約,為的是先黑客一步利用該漏洞。
“好吧,我們救了你們一命,你們應該給我們點東西。”
由于區塊鏈上行動公開,黑客事件很快愈演愈烈。LP和同事的白帽行動幾經波折,被記錄在區塊鏈上,黑客也能注意到他們的活動。這時,其他投機的黑客看到了正在發生的事態,甚至也開始借機大賺一筆。但最終,LP和她的兩位同事成功挽救數萬美元,并幫助該項目修復漏洞,阻止了黑客的攻擊。然而,據LP說,黑客仍然凈賺大約800個ETH,截至目前價值約150萬美元。
Nomad:已有86個白帽地址返還價值3200萬美元的資產:8月6日消息,跨鏈互操作性協議Nomad發推表示,迄今為止,已有86個錢包地址向Nomad恢復錢包返還價值3200萬美元的資產。希望白帽繼續返還資金至0x94a84433101a10aeda762968f6995c574d1bf154地址(ETH/ERC-20)。
昨日Nomad表示將為歸還至少90%所盜資金的攻擊者提供最高10%的獎勵。此前據歐科云鏈OKLink分析報告顯示,Nomad Bridge攻擊事件共涉及1251個ETH地址、14個幣種,涉案金額約1.9億美元。[2022/8/6 12:06:23]
“很多人都遭遇了損失,這不是最好的結局,但它也沒有發展至不可挽回的狀態。”LP說。
據LP說,整個操作持續了大概半個小時。
Multichain黑客事件也是一例。我們無法確定這些案例中的黑客是否從始至終都是頭戴白帽,也許他們在盜竊之后改變了想法,畢竟這些資金放在他們的加密錢包里,舉世矚目,壓力倍增。
也有像LP這樣的“白帽黑客”,他們猛烈發起攻擊,挽救資金,常常與邪惡的黑客賽跑,有時未經目標錢包或加密貨幣協議用戶的同意。這些黑客始終持有的意圖是將資金返還給其合法所有者。
Nomad:已追回1660萬美元資金,其中白帽黑客主動歸還1120萬美元:8月4日消息,Nomad在推特上公布Nomad Bridge資金返還情況,總計1120萬美元返還至官方地址,具體如下:
- ???.eth (400萬美元);
- 0xE3F40743cc18fd45D475fAe149ce3ECC40aF68c3(340萬美元);
- darkfi.eth (190萬美元);
- returner-of-beans.eth(100萬美元);
- anime.eth(90萬美元)。
Nomad表示,截至目前總共追回1660萬美元資金。希望退還資金的白帽黑客請將ETH/ ERC-20代幣發送到官方以太坊錢包地址0x94A84433101A10aEda762968f6995c574D1bF154。[2022/8/4 5:15:06]
這個詞首次在這種語境下流行也許是在2016年,當時自稱羅賓漢小組的志愿者程序員與從DAO中竊取數百萬美元ETH的黑客展開競賽,DAO是當時加密貨幣領域最有前景的組織之一。當時,該組織擊敗黑客,拯救了大約1500萬美元的ETH,這一事件被廣泛稱為“白帽黑客事件”。第二年,這個團體,現在自稱為白帽集團,在以太坊客戶Parity被黑之后,挽救了2億美元的加密貨幣。
Aurora Labs向一名通過Immunefi報告關鍵漏洞的白帽獎勵600萬美元:6月7日消息,Aurora背后核心開發團隊Aurora Labs向一名通過Immunefi報告錯誤的白帽獎勵了600萬美元。該黑客于4月在Aurora網絡上發現了一個嚴重漏洞,Aurora已經完成了修復。根據Immunefi,這是Aurora引擎(基于NEAR協議構建的以太坊虛擬機環境)上的一個嚴重通脹錯誤,可能會允許惡意實體鑄造新的ETH并消耗超過7萬枚ETH(目前價值約1.22億美元)。(TheBlock)[2022/6/7 4:08:58]
近來,伴隨著針對加密貨幣協議和用戶的黑客攻擊,這種做法變得更加頻繁。根據區塊鏈網絡安全公司Immunefi的報告,就在今年前三個月,黑客和騙子已經盜取了大約12.3億美元的加密貨幣。
Motherboard采訪了包括LP在內的五個人,他們稱有參與這種白帽活動的直接經驗。
區塊鏈安全公司Zellic的聯合創始人StephenTong在一次在線聊天中告訴Motherboard,“在Web3中,白帽黑客被視為英雄而受到追捧。這絕對是一個雙贏的局面。人們認可這一行為,因為如果我不做,那么還有誰會去做?至少我比一些黑帽子好。這就是我們的心態。”
Moonbeam和Moonriver通過緊急升級已解決白帽黑客披露的安全問題:6月1日消息,波卡生態智能合約平臺Moonbeam Network宣布Moonbeam和Moonriver通過runtime1503和1504緊急升級,已解決由獨立白帽黑客通過Immunefi漏洞賞金計劃披露的安全問題。
Moonbeam團隊于5月27日收到一份Immunefi錯誤報告,涉及Frontier(Moonbeam幫助創建的波卡生態系統內提供核心以太坊兼容性功能的Substrate pallet)中的潛在安全漏洞。runtime1503雖然消除了該漏洞,但它引入了一個意外錯誤,該錯誤在晚些時候使用runtime1504進行了修補。[2022/6/1 3:55:27]
白帽黑客在未經同意下竊取他人錢包或協議,這一行為在法律上是否正當尚不明晰。
研究加密貨幣問題的律師PrestonByrne在一封電子郵件中告訴Motherboard:“白帽黑客雖然高貴,但若沒有行動目標的同意,這一活動還是充滿風險。披露漏洞是一回事,無論出于何種原因侵犯第三方資金所有者的權利是另一回事,如果目標人物因一些原因對黑客行為不滿,黑客可能要承擔民事和刑事責任。”
最終結果可能取決于未經同意下被白帽黑客取走加密貨幣的組織或個人的想法。
Preston說:“白帽/灰帽黑客的問題是,有的活動目標可能會感謝他們告知漏洞,但有的人則可能會大發雷霆,打電話給警察。當白帽黑客發現智能合約系統中的漏洞時,最好的辦法是私下通知開發人員,然后就這樣了——你不是超人,拯救世界不是你的責任。”
白帽黑客的做法涉及從用戶甚至是黑客的錢包中獲取加密貨幣,這可以與有爭議的反擊黑客概念相比較。在網絡安全領域,反擊黑客基本指的是數據泄露的受害者試圖自行恢復被盜文件,收集黑客的行蹤和身份信息——以進行黑客攻擊。盡管這一行為充滿爭議,但對黑客的反擊的確存在,但鑒于法律風險,是秘密進行的。
一些加密貨幣世界中的白帽活動參與者試圖避免被起訴的風險。
EmilianoBonassi是一名區塊鏈網絡安全研究員,他也參與了幾次白帽行動。在去年的一個案例中,加密貨幣投資平臺PrimitiveFinance用戶的錢包被暴露,任何一個會利用漏洞的人都能進行訪問。
“我們能夠拯救該協議用戶的唯一方法是把他們錢包里的資金抽走,然后通知他們。所以這是你可能遇到的最糟糕的情況,因為你基本上要抽走用戶的資金。”Bonassi在電話中告訴Motherboard。
Bonassi與Immunefi創始人MitchellAmador以及加密貨幣網絡安全公司Dedaub的研究人員一同工作,都是本案的中間人。最重要的是,根據白帽黑客的事后調查,PrimitiveFinance公司的員工從一開始也參與了救援。
與LP不同的是,Bonassi和他的同事沒有使用自己的錢包來保存資金,只是向協議開發者展示了如何進行白帽攻擊。
“我們向他們演示如何執行,我們開發了執行腳本,做了模擬,然后和他們說,我們支持你,你執行吧。如果一切出錯,我們會采取行動。”
一些區塊鏈網絡安全研究人員充分意識到風險存在——使用自己錢包,且未經錢包所有者或協議構建者的同意就對有漏洞的錢包進行攻擊,這些行為是充滿風險的。
一位網絡安全研究人員在接受Motherboard采訪時要求匿名,正是因為在拯救他人加密貨幣時使用錢包是有風險的,他說過去他在一些情況下這樣做過。
“這挺讓人擔心的,所以也許我也不該拋頭露面。現在整個行業都有點緊張,這也是為什么我不再積極參與這些活動了。”該研究人員在電話中告訴Motherboard。
另一些人則是完全不使用自己的錢包。
“我的個人原則是,我永遠不會獨自發送交易。我也絕對不會托管他人資金。Samczsun是在加密貨幣投資公司Paradigm工作的安全研究員,他在電話中告訴Motherboar,“我的原則是我提供給你所需的一切信息,讓你盡快掌握情況,然后把決定留給你做。我自己不會介入并強行接管整件事,如果你想讓我幫忙,我就會幫忙。如果你愿意自己處理這個問題,那我很樂意站到一邊,讓你來處理。”
“對我個人來說,如果要暫時地獲得并處置九位數的資產,這樣的事件我是不太愿意調查的。”Samczsun曾參與過幾個白帽黑客活動,拯救了數百萬的加密貨幣。“所以如果可以的話,我會完全避免這種情況。我不確定《好撒瑪利亞人法》是否也適用于區塊鏈,這一法律鼓勵人們在緊急情況下幫助處于危險或困境的人,而不必擔心如果他們無意中造成傷害或死亡而被起訴。”
Preston認為Samczsun的做法是正確的,因為《計算機欺詐和濫用法》會對造成損失的行為進行處罰,如從某人的錢包中拿走加密貨幣,即使這不是欺詐。
“如果你決定自己獨自處理,那為了避免受到懷疑,你也絕對不應這樣做。這是在玩火,記住,你有可能會引起檢察官的注意。”Preston說。
“我們能夠拯救該協議用戶的唯一方法是將資金從他們的錢包中抽走。”
在Chainalysis上個月組織的一次會議上,紐約縣地區檢察官辦公室的網絡犯罪和身份盜竊局局長ElizabethRoper說,白帽黑客是法律上“真正的灰色地帶”,它可能是檢察官可能想要關注的領域。
Roper?說:“如果它最終拯救了平臺上的每個用戶和大量資金,而且做這件事的人立即公開了事件,也許我們不會使用資源來起訴它。但還是要重申,這需要根據具體案例討論。”
被問到是否會擔心遭來無妄之災時,LP說通常她參與的加密貨幣項目規模較小,甚至不在美國境內,所以她做了風險評估,認為提供幫助也不會面臨控訴風險。
LP說,“遭到控訴是不太可能的,但是我卻非常可能挽救他人資金,確保他們不會完全破產,那對他們來說會是非常糟糕的日子。”
對白帽黑客來說,一個更可能的結果是他們為造成的“麻煩”獲得獎勵。Fantasm案件并不是LP和她在RugDoc的團隊唯一的一次挽救行動。在那個案例中,他們并沒有要求獎勵。但在其他時候,他們有所要求。
“如果是一個大型、臭名昭著的項目,它們還有剩余資金,我們就會說。‘好吧,我們剛剛在這里救了你們一命,你們應該給我們一些東西。’”LP說。
Bonassi說,若官方沒有漏洞賞金,通常的標準獎勵是本會被盜資金的10%。但他過去也在沒有任何補償的情況下參與過白帽攻擊,這是因為他想要幫助被涉及的加密貨幣項目,更是想要為整個生態系統獻一份力。
白帽黑客行動對Bonassi來說不僅是為了阻止潛在的黑客,它也是一個人人都可參與的學習機會。
獎勵越大,研究人員就越受到鼓舞,愿意去尋找和報告漏洞。
他說,“我們最初懸賞1萬,然后是10萬。現在我們有100萬、1000萬的漏洞賞金。可能在明年,我們將看到數億、數十億的獎金。因為Web3和其他行業不同,在這里黑客攻擊在短短幾秒內轉瞬發生,卻可獲利無限。因此,我們需要推舉大型激勵措施,保證系統安全。"
Tags:加密貨幣ETHTHEMAD加密貨幣市場最新消息ethp幣怎么樣ethereum和erc20的地址一樣嗎NOMAD價格
今天開盤,不出所料又是一次畫門行情,如今的市場是存量博弈的市場,也可以叫負和博弈,沒有新資金進來,場內互割,最后還要被徐明星趙長鵬收個手續費……這種無盡的震蕩沒有趨勢的行情.
1900/1/1 0:00:00親愛的用戶: 虎符幣幣區將于2022年06月08日15:00上線FitToken(FIT)、Calo(CALO)和iStep(ISTEP),并開放FIT/USDT.
1900/1/1 0:00:00尊敬的XT.COM用戶:因BCH錢包升級維護,XT.COM現已暫停BCH充提業務。給您帶來的不便,請您諒解!感謝您對XT.COM的支持與信任.
1900/1/1 0:00:00尊敬的XT.COM用戶:因BLKC錢包升級維護,XT.COM現已暫停BLKC充提業務。給您帶來的不便,請您諒解!XTZ跌破4美元關口:火幣全球站數據顯示,XTZ短線下跌,跌破4美元關口,現報3.
1900/1/1 0:00:00安全問題已成為下一代互聯網不容忽視的一個問題。近期,路透社的一篇專欄文章將知名區塊鏈交易平臺——幣安送至了風口浪尖.
1900/1/1 0:00:00導語:BOB體育是體育平臺領域的佼佼者,不斷地深入強化著其在亞洲的獨特地位,與里昂俱樂部、德甲多特蒙德足球俱樂部等多家體育機構合作,共同帶動整個行業的發展.
1900/1/1 0:00:00