作者:Frank,Foresight News
2 月14 日晚間,Paradigm 安全主管samczsun 官員宣發起白帽駭客安全港計畫「Security Alliance」,迅速在加密世界引起波瀾,Uniswap 等頭部協議與慢霧科技、OpenZeppelin 等業內安全機構,以及Messari 聯創兼CEO Ryan Selkis 等知名人士紛紛互動並打Call 支持。
身為Web3 安全領域最負盛名的頂級白帽駭客,samczsun 此番推出的所謂白帽駭客安全港計畫「Security Alliance」究竟是什麼,具體要做哪些事情,又可能會對加密產業和Web3 安全領域產生哪些影響?
「Security Alliance」是什麼?
首先詞如其名,Security Alliance 的英文直譯是安全聯盟,簡單理解就是致力於網路安全的公益聯盟組織:
Security Alliance 組建了一支由網路安全領域最優秀的團隊組成的團隊,透過SEAL911 和Wargames 等措施來幫助確保DeFi 的安全。
根據samczsun 披露的信息,早在2022 年8 月跨鏈互通性協議Nomad 遭到攻擊時(Foresight News 注,Nomad 事件損失金額達1.9 億美元),他就和a16z crypto 的安全團隊合作參與了對駭客的識別分析。
在這個過程中,他們合作幫助Nomad 計畫從幾個白帽駭客那裡恢復了高達3,880 萬美元的資金——這些白帽駭客故意搶先抽走資金,以保護資金免受攻擊者的影響,而這也構成了最早的Security Alliance 組織雛形與運作理念。
因為白帽駭客往往是第一個注意到或收到漏洞預警的人,這其實也是samczsun、慢霧、PeckShield 等我們所熟知的安全研究人員/ 機構的X 日常推文內容。
但問題在於,由於白帽駭客救援的法律模糊性,許多技術更成熟、具備白帽意願的開發人員和安全研究人員無法提供協助:
要嘛是因為工作原因不被允許,要嘛是其他因素的顧慮,在此背景之下,如果能有一個法律框架,可以讓白帽用行動來體現他們的善意,那麼更多的人就可以參與進來,Nomad 事件就是一個典型的例子。
綜上,samczsun 決定建立一個能夠讓安全人員無後顧之憂、且更快更好針對安全事件進行回應的相關組織,於是經過一年多的努力,Security Alliance 誕生——「消除可能阻止白帽駭客們即時保護我們的協議的障礙,賦予安全研究人員權力,這樣如果其他一切努力都失敗了,白帽駭客就可以作為最後一道防線」。
簡言之,Security Alliance 旨在為白帽駭客提供法律保護框架,並儘快通知易受攻擊系統的所有者、提供攻防演練環境和支持,目前Security Alliance 已在GitHub 發布協議草案,並開放社區意見徵集,為期1 個月,至2024 年3 月14 日結束。
官方網站顯示,Security Alliance 擁有50 多個捐助者和合作夥伴,包括Paradigm、以太坊基金會、a16z crypto、Vitalik Buterin、Filecoin 基金會、Coinbase、Dragonfly、Framework、Electric Capital 等,陣容堪稱頂級。
三個主要產品/ 服務
目前Security Alliance 列出的主要產品/ 服務主要有3 個:白帽安全港協議(Whitehat Safe Harbor Agreement)、SEAL 911、SEAL Wargames。
其中加密研究員@lex_node 與Delphi Labs 協助制定了安全港協議,此外還計劃在今年發布更多配套措施。
白帽安全港協議:白客操作規範
如上文所示,Security Alliance 作為一個中立的公益平台,匯集了來自加密領域許多不同賽道的頂級專家,近乎形成了一個網絡,可以訪問整個加密生態系統,以找到任何專業領域的最佳人才,幫助執行計劃。
基於此,白帽安全港協議就是專門針對主動攻擊事件的一個綜合框架,可以理解為一個「白帽安操作規範」,在這個框架中,協議可以為在主動攻擊事件期間幫助恢復資產的白帽駭客提供法律保護。
也就是說它類似於漏洞賞金,如果協議在主動攻擊事件發生之前採用了安全港協議,白帽駭客將清楚地了解自己可以如何在潛在的救援中採取行動,譬如:
- 哪些資產在協議範圍內(例如特定地址的任何ERC20 代幣)?
- 成功的白帽救援將獲得什麼獎勵(例如10% 的獲救資金,或上限為100 萬美元)?
- 獲救的資金應退還至何處(例如特定的多簽地址)?
這就等於白帽駭客可以直觀明白自己的操作邊界、行為準則以及獎勵標準,獲得法律保障,當然如果白帽決定進行白帽救援,他們必須遵循協議中規定的流程。
SEAL 911:7×24 緊急熱線
「SEAL 911」的產品形式是一個Telegram 機器人,簡單來看,它可以視為一條直通項目方與團隊的緊急熱線,任何人都可以在緊急情況下使用它來與某一項目團隊取得聯繫,用戶向其發送的任何訊息都會自動轉發給對應專案團隊。
試想一下,如果某天你率先發現了針對某協議的鏈上攻擊線索,在這種緊急情況時,時間就是金錢,但你可能很難第一時間知道向誰求助或進行披露提醒,尤其是怎麼第一時間通知到官方人員。
而SEAL 911 就是提供這樣一個通道,用戶、開發人員和其他需要獲得緊急安全建議、幫助披露關鍵漏洞或簡單地與其他研究人員同步進展的用戶,可以使用該Telegram 機器人與經過仔細審查的專家志願者團隊聯繫。
隨後SEAL 911 團隊將對請求進行分類並直接提供協助,或將其路由到正確的聯絡點。根據samczsun 的說法,在過去的6 個月中,SEAL 911 已經幫助中斷、攔截和糾正了幾個駭客攻擊,並幫助了許多有其他安全問題的人。
SEAL Wargames:提供紅藍攻防環境
「SEAL Wargames」,官方定位是「紅色團隊演習」,簡單理解就是提供一個紅藍攻防環境。
因為許多開發人員可能以前從未經歷過安全事件的高強度環境,這使得他們很難保持專注和高效,因為每秒鐘都可能意味著被攻擊者損失數百萬美元。
而SEAL Wargames 可以為專案提供所需的資源和培訓,以便為極端場景做好準備,並包括兩個階段:
- 桌面演練,SEAL Chaos 團隊與專案開發人員共同製定假設的攻擊場景,並記錄潛在的弱點;
- 模擬攻擊,SEAL Chaos 團隊利用測試網路上的漏洞,挑戰專案開發人員,分類不同類別的漏洞,並進行修復;
因此如果一個項目被黑需要應急,或者需要提前紅隊演練以應對極端情況,都可以使用該工具。
samczsun 何許人也?
作為Paradigm 研究合夥人兼安全主管,samczsun 專注於Paradigm 的投資組合公司以及對安全和相關主題的研究。
近兩年來,samczsun 屢屢第一時間預警並活躍在大大小小的Web3 安全事件中,應該是加密行業大家最耳熟能詳的白帽黑客:
根據不完全統計,過去幾年,Samczsun 陸續透過直接示警,至少幫助數十個項目提前發現相關漏洞,避免了數億美元的損失,包括SushiSwap、ENS 等。
如果按時間軸梳理,會發現samczsun 在Web3 安全上的開源貢獻是一脈相承的:
2022 年9 月,samczsun 開發並上線以太坊地址標記及搜尋網站Ethereum Tags Database,並表示Ethereum Tags Database 可以用來標記以太坊地址,任何人都可以為此做出貢獻,並按地址、標籤(使用通配符)搜尋;
2023 年8 月,推出上文提到的Telegram 機器人「SEAL 911」;
小結
我們常說,「Web3 世界是技術人才和駭客的天堂」,尤其是2020 年的DeFi 盛夏以來,Web3 世界的安全風險就像是一場不對稱的單向獵殺,對駭客而言無疑是取之不盡的免費提款機,而對專案方和一般用戶而言,更像是一把不知何時會落下的「達摩克里斯之劍」。
而Security Alliance 透過一連串的組合拳,允許受駭客等安全事件影響的加密用戶存取7×24 小時緊急熱線,也為白帽駭客在搶救被盜資金時提供法律保護,並為Web3 開發人員提供免費練習,模擬針對組織系統的對抗性網路攻擊,以確定漏洞並準備有效的回應。
至少就目前的加密領域而言,這已經是一套堪稱當下最完善的Web3 安全解決方案,至於能否讓大家在穿越加密黑暗森林時少一點殘酷,拭目以待。