2月14日晚間,Paradigm安全主管samczsun宣布發起白帽駭客安全港計畫「安全聯盟」,並受到加密貨幣世界的關注。聯盟旨在為白帽駭客提供法律保護框架,並提供緊急熱線和攻防演練支援。安全聯盟已在GitHub發布協議草案,並開放社區意見徵求,為期一個月。此外,安全聯盟推出的主要產品/服務有3個:白帽安全港協議、SEAL 911和海豹部隊戰爭遊戲。 samczsun是Paradigm的研究合夥人兼安全主管,專注於安全和相關主題的研究,透過直接示警有效幫助計畫發現漏洞。安全聯盟為加密貨幣用戶提供了一套完善的Web3安全解決方案,為加密貨幣世界提供了更多安全保障。
作者:Frank,前瞻新聞
2月14日晚間,Paradigm安全主管samczsun官宣發起白帽駭客安全港計畫「安全聯盟」,迅速在加密貨幣世界引發波瀾,Uniswap等頭部協議與慢霧科技、OpenZeppelin等創安全機構,以及Messari聯創兼CEO Ryan Selkis等人紛紛互動並打call品牌支援。
身為Web3安全領域最負盛名的頂級白帽駭客,samczsun此番推出的所謂白帽駭客安全港計畫「安全聯盟」到底是什麼,具體做了哪些事情,又可能針對加密貨幣產業和Web3安全領域產生有哪些影響?
「安全聯盟」是什麼?
首先詞如其名,安全聯盟的英文直譯是聯盟,簡單理解就是致力於安全網路安全的公益聯盟組織:
安全聯盟組建了一個由網路安全領域最優秀的團隊組成的團隊,透過SEAL911 和Wargames 等措施來幫助確保DeFi 的安全。
根據samczsun 披露的信息,早在2022 年8 月跨鏈互通性協議Nomad 發起攻擊時(Foresight News 注,Nomad 事件損失金額達1.9 億美元),他就和a16z crypto 的安全團隊合作參與了黑客的識別分析。
在這個過程中,他們合作幫助Nomad項目從幾個白帽黑客那裡恢復了高達3880萬美元的資金——這些白帽黑客故意搶先走抽資金,以保護資金外殼攻擊者的影響,而這也構成了初步的安全聯盟組織雛形與運作理念。
因為白帽駭客往往是第一個注意到或收到漏洞預警的人,這其實也是samczsun、慢霧、PeckShield 等我們所熟知的安全研究人員/機構的X 日常推文內容。
但問題在於,由於白帽駭客救援的法律模糊性,許多技術更成熟、白帽願意的開發人員和安全研究人員無法提供協助:
或者是因為工作原因不被允許,或者是其他因素的考慮,在此背景下,如果能夠有一個法律框架,可以讓白帽用行動來體現他們的善意,那麼更多的人就可以參與進來, Nomad事件就是一個典型的例子。
綜上,samczsun決定成立一個能讓安全人員無後顧之憂、且更快更好的針對安全事件進行回應的相關組織,於是經過一年多的努力,安全聯盟誕生了——「消除可能阻止白帽駭客們即時保護我們的協議障礙,賦予安全研究人員權力,這樣如果其他一切努力都失敗了,白帽駭客就可以作為最後一道防線」。
簡言之,安全聯盟旨在為白帽駭客提供法律保護框架,並加快通知易受攻擊系統的所有者、提供攻防演環境練習和支持,目前安全聯盟已在GitHub 發布協議草案,並開放社區意見徵求集,為期1個月,至2024年3月14日結束。
官方網站顯示,安全聯盟擁有50多位捐贈者和合作夥伴,包括Paradigm、以太坊基金會、a16z crypto、Vitalik Buterin、Filecoin基金會、Coinbase、Dragonfly、Framework、Electric Capital等,堪稱陣容頂級。
三大主要產品/服務
目前安全聯盟推出的主要產品/服務主要有3個:白帽安全港協議(Whitehat Safe Harbor Protocol)、SEAL 911、SEAL Wargames。
其中加密貨幣研究員@lex_node與Delphi Labs協助制定了安全港協議,此外還計劃在今年發布更多行動措施。
白帽安全港協議:白客操作規範
如上文所示,安全聯盟作為一個中立的公益平台,匯集了來自加密貨幣領域眾多不同迭代的頂級專家,近乎形成了一個網絡,可以訪問整個加密貨幣生態系統,以找到任何專業領域的最佳人才,幫助執行計劃。
基於此,白帽安全港協議就是專門針對主動攻擊事件的一個綜合框架,可以理解為一個「白帽安操作規範」,在這個框架中,協議可以為在主動攻擊事件期間幫助恢復資產的白帽駭客提供法律保護。
這相當於漏洞獎勵金,如果協議在主動攻擊事件發生之前採用了安全港協議,白帽駭客將明確了解自己可以如何在潛在的救援中採取行動,打比方:
哪些資產在協議範圍內(例如特定地址的任何ERC20 代幣)?成功的白帽救援將獲得什麼獎勵(例如10%的獲救資金,或上限為100萬美元)?獲救的資金應退還至何處(例如特定的多標籤地址)?
這相當於白帽駭客可以理解自己的操作邊界、行為標準以及獎勵標準,獲得法律保障,當然如果白帽決定進行白帽救援,他們必須遵循協議中規定的流程。
SEAL 911:7×24緊急熱線
「SEAL 911」的產品任何形式都是一個Telegram 機器人,簡單來看,它可以看作是一條直通專案方與團隊的緊急熱線,所有人都可以在緊急情況下使用它來與某個專案團隊取得聯繫,用戶向其發送的任何訊息都會自動轉發給對應專案團隊。
試想一下,如果某天你先找到了針對某協議的鏈上攻擊線索,在這種緊急情況下,時間就是金錢,但你可能很難第一時間知道向誰求助或進行披露提醒,尤其是怎麼回事第一時間到通知官方人員。
而SEAL 911 就是提供這樣一個通道,用戶、開發人員和其他需要獲得緊急安全建議、幫助披露關鍵漏洞或簡單地與其他研究人員同步進展的用戶,可以使用該Telegram 機器人與經過仔細審查的專家志願者團隊聯繫。
根據SEAL 911 團隊成員請求進行分類並直接提供協助,或將其路由到正確的聯絡點。根據samczsun 過去的說法,在6 個月中,SEAL 911 已經幫助中斷、攔截和糾正了幾個駭客攻擊,並幫助了許多有其他安全問題的人。
海豹部隊戰爭遊戲:提供紅藍攻防環境
「海豹突擊隊戰爭遊戲」,官方定位是「紅色團隊操演」,簡單理解就是提供一個紅藍攻防環境。
因為許多開發人員可能以前從未經歷過安全事件的高強度環境,這使得他們很難保持專注和,因為每個參與者都可能意味著被攻擊者損失數百萬美元。
而海豹突擊隊兵棋推演可以為專案提供所需的資源和培訓,以便為極端場景做好準備,並且包括兩個階段:
桌面演練,SEAL Chaos 團隊與專案開發人員共同製定假設的攻擊場景,並記錄潛在的弱點; 模擬攻擊,SEAL Chaos團隊利用測試網路上的漏洞,挑戰專案開發人員,分揀不同類別的漏洞,並進行修復;
因此,如果一個項目被駭需要緊急訓練,或需要提前紅隊演練以應對極端情況,都可以使用該工具。
samczsun 何許人也?
作為Paradigm 研究合夥人兼安全主管,samczsun 專注於Paradigm 的投資組合公司以及對安全和相關主題的研究。
近兩年來,samczsun 屢屢第一時間預警並活躍在大頻寬Web3 安全事件中,應該是加密貨幣行業大家最耳熟能詳的白帽駭客:
根據不統計,過去幾年,Samczsun陸續透過直接示警,至少完全幫助了整個計畫提前發現相關漏洞,避免了數億美元的損失,包括SushiSwap、ENS等。
如果按時間軸梳理,會發現samczsun在Web3安全上的開源貢獻是一個脈相承的:
2022年9月,samczsun開發並上線以太坊地址標記及搜尋網站以太坊標籤資料庫,並表示以太坊標籤資料庫可以用來標記以太坊地址,任何人都可以為此做出貢獻,並按地址、標籤(使用通配符)搜尋;
2023年8月,推出上文提到的Telegram機器人「SEAL 911」;
小結
我們常說,「Web3 世界是技術人才和駭客的天堂」,尤其是2020 年DeFi 盛夏以來,Web3 世界的安全風險就像是一場並不昂貴的單向獵殺,對駭客而言無疑是取之不盡的免費提款機,而對於專案方和一般用戶而言,卻是一把不知何時會落下的「達摩克里斯之劍」。
而安全聯盟透過一連串的組合拳,允許受駭客等安全事件影響的加密貨幣用戶存取7×24小時緊急熱線,也為白帽駭客在搶救被盜資金時提供法律保護,並為Web3開發人員提供免費演練、模擬針對組織系統的對抗性網路攻擊,修復漏洞並準備有效的回應。
至少就目前的加密貨幣領域而言,這已經是一套堪稱最完善的Web3安全解決方案,直至能夠讓大家在穿越加密貨幣黑暗森林時少一點嚴厲,拭目以待。
資訊來源:0x資訊編譯自網際網路。版權歸作者Foresight News所有,未經許可,不得轉載