白帽救援的兩難選擇：僅通知項目方還是直接轉移資產？_ORK:區塊鏈

3月9日清晨，LP仍在睡夢中，突然開始收到Telegram的電話。據她說，這絕不是一個好兆頭。她穿著系扣睡衣，拉開臥室窗簾，從毯子中扯出筆記本電腦，戴上隱形眼鏡。現在是時候去拯救別人的加密貨幣了——先黑掉他們。LP是一位擁有博士學位的工程師，曾在硅谷一家律師事務所工作，目前是網絡安全公司RugDoc和PaladinBlockchainSecurity的創始人，為保護隱私她不愿使用真實姓名。她想讓大家知道，加密貨幣不僅意味著“住滿好人的地下室”這樣的場景。打電話的是她的一個同事，他告訴她有人對一個叫Fantasm的加密貨幣協議的投資者進行攻擊，當時該協議有數百萬美元的流動性資金已被投資者鎖定。等她清醒過來，打開筆記本電腦，就開始與兩位同事合作，試圖擊敗黑客，盡可能多地挽救加密貨幣。在加密貨幣的世界里，由于區塊鏈具有不可逆性，被盜的資金通常會永遠消失，要拯救資金意味著需要先于竊賊進行黑客攻擊。LP說：“這些搶錢的人能找到非常容易的方法來利用漏洞，然后突然間，數百萬的美元就被盜走了。”與黑客的競賽開始了。LP的同事已經發現了黑客正在利用的漏洞，在他的幫助下，LP寫了一系列智能合約，為的是先黑客一步利用該漏洞。“好吧，我們救了你們一命，你們應該給我們點東西。”由于區塊鏈上行動公開，黑客事件很快愈演愈烈。LP和同事的白帽行動幾經波折，被記錄在區塊鏈上，黑客也能注意到他們的活動。這時，其他投機的黑客看到了正在發生的事態，甚至也開始借機大賺一筆。但最終，LP和她的兩位同事成功挽救數萬美元，并幫助該項目修復漏洞，阻止了黑客的攻擊。然而，據LP說，黑客仍然凈賺大約800個ETH，截至目前價值約150萬美元。“很多人都遭遇了損失，這不是最好的結局，但它也沒有發展至不可挽回的狀態。”LP說。據LP說，整個操作持續了大概半個小時。白帽黑客

Arbitrum生態借貸協議Tender.fi疑似遭白帽黑客攻擊，160萬美元資金受到影響:3月7日消息，Arbitrum 生態借貸協議 Tender.fi 疑似遭受攻擊，官方在社交媒體上發文表示，目前正在調查該協議異常數量的借貸，已暫停所有借貸。

據 0xScope 研究員 Cobie 分析稱，本次事件為白帽黑客所為，其留言表示 Tender.fi 的預言機配置有錯誤，試圖與 Tender.fi 取得聯系，目前初步預估有 160 萬美元資金受到本次事件影響。

Uniswap數據顯示，TND暫報2.2931美元，24小時跌幅為26.5%。[2023/3/7 12:47:32]

“白帽黑客”的出現可追溯至互聯網發明之初，最初來自西方電影中“好人戴白帽，壞人戴黑帽”的設定。在網絡安全的世界中，白帽黑客被公認為是正義的黑客，比如LP。但是，在加密貨幣的世界中，白與黑并非界限分明。一些黑客利用漏洞偷取資金，再公開宣稱，只要得到獎勵，就會把資金歸還。比如在PolyNetwork遭遇的怪異黑客事件中，該公司反復公開懇求黑客，稱他們為白帽子先生，之后他們便歸還了被盜的加密貨幣——大約6億美元，還有最近的Multichain黑客事件也是一例。我們無法確定這些案例中的黑客是否從始至終都是頭戴白帽，也許他們在盜竊之后改變了想法，畢竟這些資金放在他們的加密錢包里，舉世矚目，壓力倍增。也有像LP這樣的“白帽黑客”，他們猛烈發起攻擊，挽救資金，常常與邪惡的黑客賽跑，有時未經目標錢包或加密貨幣協議用戶的同意。這些黑客始終持有的意圖是將資金返還給其合法所有者。這個詞首次在這種語境下流行也許是在2016年，當時自稱羅賓漢小組的志愿者程序員與從DAO中竊取數百萬美元ETH的黑客展開競賽，DAO是當時加密貨幣領域最有前景的組織之一。當時，該組織擊敗黑客，拯救了大約1500萬美元的ETH，這一事件被廣泛稱為“白帽黑客事件”。第二年，這個團體，現在自稱為白帽集團，在以太坊客戶Parity被黑之后，挽救了2億美元的加密貨幣。近來，伴隨著針對加密貨幣協議和用戶的黑客攻擊，這種做法變得更加頻繁。根據區塊鏈網絡安全公司Immunefi的報告，就在今年前三個月，黑客和騙子已經盜取了大約12.3億美元的加密貨幣。Motherboard采訪了包括LP在內的五個人，他們稱有參與這種白帽活動的直接經驗。區塊鏈安全公司Zellic的聯合創始人StephenTong在一次在線聊天中告訴Motherboard，“在Web3中，白帽黑客被視為英雄而受到追捧。這絕對是一個雙贏的局面。人們認可這一行為，因為如果我不做，那么還有誰會去做？至少我比一些黑帽子好。這就是我們的心態。”白帽黑客在未經同意下竊取他人錢包或協議，這一行為在法律上是否正當尚不明晰。研究加密貨幣問題的律師PrestonByrne在一封電子郵件中告訴Motherboard：“白帽黑客雖然高貴，但若沒有行動目標的同意，這一活動還是充滿風險。披露漏洞是一回事，無論出于何種原因侵犯第三方資金所有者的權利是另一回事，如果目標人物因一些原因對黑客行為不滿，黑客可能要承擔民事和刑事責任。”最終結果可能取決于未經同意下被白帽黑客取走加密貨幣的組織或個人的想法。Preston說：“白帽/灰帽黑客的問題是，有的活動目標可能會感謝他們告知漏洞，但有的人則可能會大發雷霆，打電話給警察。當白帽黑客發現智能合約系統中的漏洞時，最好的辦法是私下通知開發人員，然后就這樣了——你不是超人，拯救世界不是你的責任。”白帽黑客的做法涉及從用戶甚至是黑客的錢包中獲取加密貨幣，這可以與有爭議的反擊黑客概念相比較。在網絡安全領域，反擊黑客基本指的是數據泄露的受害者試圖自行恢復被盜文件，收集黑客的行蹤和身份信息——以進行黑客攻擊。盡管這一行為充滿爭議，但對黑客的反擊的確存在，但鑒于法律風險，是秘密進行的。一些加密貨幣世界中的白帽活動參與者試圖避免被起訴的風險。EmilianoBonassi是一名區塊鏈網絡安全研究員，他也參與了幾次白帽行動。在去年的一個案例中，加密貨幣投資平臺PrimitiveFinance用戶的錢包被暴露，任何一個會利用漏洞的人都能進行訪問。“我們能夠拯救該協議用戶的唯一方法是把他們錢包里的資金抽走，然后通知他們。所以這是你可能遇到的最糟糕的情況，因為你基本上要抽走用戶的資金。”Bonassi在電話中告訴Motherboard。Bonassi與Immunefi創始人MitchellAmador以及加密貨幣網絡安全公司Dedaub的研究人員一同工作，都是本案的中間人。最重要的是，根據白帽黑客的事后調查，PrimitiveFinance公司的員工從一開始也參與了救援。與LP不同的是，Bonassi和他的同事沒有使用自己的錢包來保存資金，只是向協議開發者展示了如何進行白帽攻擊。“我們向他們演示如何執行，我們開發了執行腳本，做了模擬，然后和他們說，我們支持你，你執行吧。如果一切出錯，我們會采取行動。”一些區塊鏈網絡安全研究人員充分意識到風險存在——使用自己錢包，且未經錢包所有者或協議構建者的同意就對有漏洞的錢包進行攻擊，這些行為是充滿風險的。一位網絡安全研究人員在接受Motherboard采訪時要求匿名，正是因為在拯救他人加密貨幣時使用錢包是有風險的，他說過去他在一些情況下這樣做過。“這挺讓人擔心的，所以也許我也不該拋頭露面。現在整個行業都有點緊張，這也是為什么我不再積極參與這些活動了。”該研究人員在電話中告訴Motherboard。另一些人則是完全不使用自己的錢包。“我的個人原則是，我永遠不會獨自發送交易。我也絕對不會托管他人資金。Samczsun是在加密貨幣投資公司Paradigm工作的安全研究員，他在電話中告訴Motherboar，“我的原則是我提供給你所需的一切信息，讓你盡快掌握情況，然后把決定留給你做。我自己不會介入并強行接管整件事，如果你想讓我幫忙，我就會幫忙。如果你愿意自己處理這個問題，那我很樂意站到一邊，讓你來處理。”“對我個人來說，如果要暫時地獲得并處置九位數的資產，這樣的事件我是不太愿意調查的。”Samczsun曾參與過幾個白帽黑客活動，拯救了數百萬的加密貨幣。“所以如果可以的話，我會完全避免這種情況。我不確定《好撒瑪利亞人法》是否也適用于區塊鏈，這一法律鼓勵人們在緊急情況下幫助處于危險或困境的人，而不必擔心如果他們無意中造成傷害或死亡而被起訴。”Preston認為Samczsun的做法是正確的，因為《計算機欺詐和濫用法》會對造成損失的行為進行處罰，如從某人的錢包中拿走加密貨幣，即使這不是欺詐。“如果你決定自己獨自處理，那為了避免受到懷疑，你也絕對不應這樣做。這是在玩火，記住，你有可能會引起檢察官的注意。”Preston說。“我們能夠拯救該協議用戶的唯一方法是將資金從他們的錢包中抽走。”在Chainalysis上個月組織的一次會議上，紐約縣地區檢察官辦公室的網絡犯罪和身份盜竊局局長ElizabethRoper說，白帽黑客是法律上“真正的灰色地帶”，它可能是檢察官可能想要關注的領域。Roper說：“如果它最終拯救了平臺上的每個用戶和大量資金，而且做這件事的人立即公開了事件，也許我們不會使用資源來起訴它。但還是要重申，這需要根據具體案例討論。”被問到是否會擔心遭來無妄之災時，LP說通常她參與的加密貨幣項目規模較小，甚至不在美國境內，所以她做了風險評估，認為提供幫助也不會面臨控訴風險。LP說，“遭到控訴是不太可能的，但是我卻非常可能挽救他人資金，確保他們不會完全破產，那對他們來說會是非常糟糕的日子。”對白帽黑客來說，一個更可能的結果是他們為造成的“麻煩”獲得獎勵。Fantasm案件并不是LP和她在RugDoc的團隊唯一的一次挽救行動。在那個案例中，他們并沒有要求獎勵。但在其他時候，他們有所要求。“如果是一個大型、臭名昭著的項目，它們還有剩余資金，我們就會說。‘好吧，我們剛剛在這里救了你們一命，你們應該給我們一些東西。’”LP說。Bonassi說，若官方沒有漏洞賞金，通常的標準獎勵是本會被盜資金的10%。但他過去也在沒有任何補償的情況下參與過白帽攻擊，這是因為他想要幫助被涉及的加密貨幣項目，更是想要為整個生態系統獻一份力。白帽黑客行動對Bonassi來說不僅是為了阻止潛在的黑客，它也是一個人人都可參與的學習機會。獎勵越大，研究人員就越受到鼓舞，愿意去尋找和報告漏洞。他說，“我們最初懸賞1萬，然后是10萬。現在我們有100萬、1000萬的漏洞賞金。可能在明年，我們將看到數億、數十億的獎金。因為Web3和其他行業不同，在這里黑客攻擊在短短幾秒內轉瞬發生，卻可獲利無限。因此，我們需要推舉大型激勵措施，保證系統安全。"

Poly Network：邀請白帽黑客擔任首席安全顧問，50萬美元賞金將會發送到其錢包地址:8月17日，Poly Network發布黑客攻擊后的善后工作進展。Poly Network正按照既定的路線圖完成了“主網升級”的第二階段，最近每天都與白帽黑客保持聯系，交流進展情況，并努力與白帽黑客達成共識，希望白帽黑客盡快將私鑰移交還，以便盡早將資產還給用戶。

Poly Network表示，無意追究白帽先生的法律責任，同時為感謝并鼓勵白帽黑客繼續與Poly Network共同為區塊鏈世界的安全進步做出貢獻，Poly Network邀請白帽黑客擔任Poly Network的首席安全顧問。

Poly Network還表示，此前承諾獎勵給白帽黑客的 50 萬美元的漏洞懸賞，雖然遭到白帽黑客的拒絕，但Poly Network仍會將這50萬美元的賞金轉移到白帽黑客批準的錢包地址，供他自行決定用于網絡安全事業和支持更多項目和個人。[2021/8/17 22:19:41]

白帽黑客幫助MetaMask網絡釣魚攻擊受害者收回11.7萬美元加密貨幣:一位MetaMask用戶遭遇網絡釣魚攻擊，無意中將其私鑰交給了騙子。一名白帽黑客成功挽救該用戶錢包（持有24萬美元資金）的一半資金。

Reddit用戶“007happyguy”被引導填寫Whitehat熱線表格，并發布其詳細信息。表格的另一端是一些白帽黑客。這是一項臨時服務，如果有空的話，開發者可以選擇回應請求。前ZenGo區塊鏈研究員Alex Manuskin回應了請求。Manuskin做的第一件事是核實該Reddit用戶擁有的錢包，并且確認其沒有試圖獲取其他人的資金。此時他必須通過索要私鑰來訪問錢包。然后他確保騙子不能再從錢包轉移走資金。為了在以太坊進行交易，用戶需要一些ETH來支付交易費用。因此，他確保任何發送至該錢包的ETH都會被自動發送出去。

為了拯救剩余資金，Manuskin使用了Flashbots，這是一種支持開發人員和礦工之間通信的服務。簡而言之，開發人員可以使用Flashbots向礦工發送一個交易“包”，直接包含在一個區塊中，而不是向網絡廣播交易。

之所以有效是有兩個原因。這種情況的主要原因是，如果錢包里沒有任何ETH，任何零交易費用的交易都不會被任何礦工打包。使用Flashbots的情況是，進行了一項復雜的交易，將資金轉移到另一個錢包，并一次性使用其他資金支付給礦工。第二個原因是它更隱蔽。如果任何交易被廣播到公共網絡上，詐騙者就有機會搶先交易。

Manuskin解釋說，編寫定制腳本和執行交易大約需要5-6個小時。時間的長短取決于交易的復雜性以及他以前是否經歷過類似的情況。在騙子開始轉移錢包資金后，Manuskin設法從錢包剩下的12萬美元代幣中挽救了大約11.7萬美元。（The Block）[2021/7/18 0:59:49]

聲音 | 白帽匯安全研究院負責人：部分區塊鏈廠商安全意識薄弱:據經濟參考網，白帽匯安全研究院負責人鄧煥8月22日，在2018網絡安全生態峰會——區塊鏈安全分論壇上表示，現階段對于區塊鏈安全的挑戰一方面是來自于技術本身，而另外更重要的一方面則是部分區塊鏈廠商自身的安全意識薄弱。他指出，目前中小型交易所對安全的認知仍有不足，大多還未建立完善的安全防御體系。[2018/8/23]

白帽黑客在上個月對Coincheck交換的調查中起到了重要作用:社區成員幫助追蹤了從東京交易所偷來的5.38億美元NEM加密貨幣。道德黑客協助當局，并鼓勵其他人參與提供援助。JK17和Hamabe在Twitter上的一頂著名的白色帽子，成功地識別出被盜的錢是在入侵后不久被發送的。這些信息是與NEM基金會共享的，這些賬戶已經被標記出來，目前正在受到監控。這些資金現在已經被轉移到400多個賬戶中，其中一些被無辜的持有者所擁有，這似乎是一種混淆追蹤者的嘗試。[2018/2/22]

Tags：加密貨幣區塊鏈POLYORK加密貨幣行情追蹤工具區塊鏈專業學什么polygon幣當前行情Callisto Network

ETH