Web3的白帽黑客所面臨的困境_區塊鏈:WEBOO價格

3月9日凌晨，還在睡覺的LP接到Telegram上的電話。在她看來，這可不是什么好兆頭。她從毯子下面拿起筆記本電腦，戴上隱形眼鏡。是時候拯救別人的加密貨幣了——先黑掉它們。

LP是一名擁有博士學位的工程師，曾在硅谷一家律師事務所工作，他也是網絡安全公司RugDoc和Paladin區塊鏈Security的創始人。

據LP稱，打電話的人是她的一位同事，他告訴她，有人正在入侵一個名為Fantasm的加密貨幣協議的投資者，當時這個協議有數百萬美元的流動資金被投資者鎖定了。

她說，當她清醒到可以打開筆記本電腦時，她就開始和兩名同事合作，盡可能多地拯救加密貨幣、試圖打敗黑客并減少損失。在加密貨幣的世界中，由于區塊鏈的不可逆轉性質，被盜資金通常會永遠消失，像這樣拯救資金意味著要在小偷之前進行黑客攻擊。

LP說：“一個剝削者發現有一個非常、非常簡單的方法來利用這個東西。”“突然之間，數百萬美元被抽走了。”

與黑客的競賽開始了。LP說，在一名發現了黑客正在利用的漏洞的同事的幫助下，她編寫了一系列智能合約，旨在比黑客更快地利用這個漏洞。

因為區塊鏈上的行為是公開的，黑客事件可能會很快變得瘋狂。LP和她的同事們利用這一漏洞進行了一些嘗試和錯誤，這被記錄在區塊鏈上，所以黑客能夠注意到他們的活動。這時，甚至還有其他投機取巧的黑客看到了正在發生的事情，也開始抽走資金。但LP和她的兩個同事還是能夠挽救數萬美元，并幫助該項目修復漏洞，阻止黑客攻擊。然而據LP說，黑客仍然凈賺了約800 ETH，價值約150萬美元。

孫宇晨：Web3.0將釋放未來社會潛力 賦予個人資產自由:7月25日消息，波場TRON創始人、火幣Huobi全球顧問委員會成員孫宇晨受邀出席在日本舉辦的WebX大會，并進行主題演講。孫宇晨在演講中表示，Web3.0的到來將釋放未來社會的潛力，為個體賦權和實現財務包容鋪平道路。他特別強調穩定幣和實物資產代幣化（RWA）是Web3的重要領域，將連接虛擬空間與現實世界，同時有助于實現更高效的跨境匯款，并賦予個人更大的資產自由。

據悉，WebX是亞洲最大web3盛會，今年為第一屆，吸引了日本首相岸田文雄、日本自民黨政務調查會長萩生田光一、Yuga Labs首席執行官Daniel Alegre和AI機器人Desdemona等眾多政策制定者和行業領軍人物參會。會議旨在將日本定位為亞洲Web3中心，重點討論如何將區塊鏈等去中心化技術引入社會，以及加速全球業務合作。[2023/7/25 15:58:11]

LP說：“很多人賠了錢，這不是最幸福的結局。但情況并沒有想象中那么糟糕。”

據LP說，整個行動大約花了半個小時。

“白帽”這個詞和互聯網一樣古老，它最初來自西部電影，好人戴白帽，壞人戴黑帽。在網絡安全領域，眾所周知，“白帽子”被普遍認為是指像LP這樣具有善意的黑客。

Web3游戲Abyss World與微軟投資的SpaceandTime合作:4月20日消息，Abyss World開發商Metagame Industries宣布與微軟投資的領先去中心化數據倉儲平臺Spaceand Time達成合作，將共同創建了Web3游戲的新標準。通過與SpaceandTime合作，Abyss World旨在為玩家提供更去中心化且高效的游戲體驗，樹立新的Web3游戲典范。借助分布式和安全的數據存儲方式，游戲將擁有無限的發展潛力，并為玩家帶來更加透明、可信賴的游戲體驗。此外，Abyss World運用人工智能推動游戲各個方面的創新，從NPC行為到游戲的BvB（BotvsBot）環節——深淵角斗場。為確保游戲結果的公平性，Spaceand Time獨特的架構允許將與游戲中英雄角色相關的元數據的AI算法分布式存儲，實現游戲核心的完全去中心化，確保AI模型的可驗證性，并讓英雄角色不斷成長。

據了解，Abyss World將在近期與Magic Eden和Sui上領先的NFT平臺舉行一輪NFT免費鑄造活動，持有者可通過直播觀看AI驅動的BvB競技場（AI對戰）并對比賽結果進行競猜以獲取獎勵。[2023/4/20 14:15:45]

然而，在加密貨幣的世界里，顏色往往指向流血。

索尼與Astar Network合作推出Web3孵化計劃:金色財經報道，索尼集團旗下業務部門索尼網絡通信與Astar Network合作推出Web3孵化計劃。

據悉，Startale Labs Pte Ltd是一家開發dApp和基礎設施并基于其在多鏈協議開發方面的專業知識提供業務咨詢服務的公司，將與索尼網絡通信合作，并聯合主辦由Sony Network Communications和Astar提供支持的Web3孵化計劃，該計劃將于今年3月中旬至6月中旬運行。該計劃將于2月17日開始接受申請。（Coindsek）[2023/2/17 12:12:40]

有些黑客利用漏洞偷錢，然后公開宣布實際上只要他們得到獎勵，他們就會把錢還回去。Poly Network遭黑客攻擊的離奇事件中就發生了這種情況。在Poly Network多次公開懇求他們，稱他們為白帽先生(Mr. White Hat)之后，黑客歸還了被盜的約6億美元的加密貨幣。此外還有最近對Multichain的黑客攻擊。在這些案件中，尚不清楚黑客是一直以來都是真正的白帽子，還是他們在偷了錢后，因為這些錢放在他們的加密貨幣錢包里被全世界注視著而感到壓力，所以改變了主意。

還有一些像LP這樣的“白帽黑客”，他們突然襲擊并拯救資金，往往與惡意黑客競賽，有時甚至沒有得到錢包被攻擊的用戶或被黑的加密協議的同意。這些黑客始終保持著將資金返還給合法所有者的意圖。

Ontology發布以太坊虛擬機，并宣布1000萬美元基金以支持基于Ontology構建的Web3開發者:3月1日消息，官方消息，本體（Ontology）宣布發布其以太坊虛擬機 (EVM)，無縫連接Ontology和基于EVM的生態系統，增加跨鏈互操作性，使基于EVM的區塊鏈開發者能夠輕松跨生態遷移，在Ontology上無縫構建應用。

Ontology還宣布了一項價值1000萬美元的EVM基金，以支持開發人員在Ontology上構建Web3/Metaverse去中心化應用程序（dApps）。[2022/3/1 13:30:49]

也許這個詞第一次在這種情況下流行是在2016年，當時自稱為Robin Hood Group的志愿者程序員與從去中心化自治組織 (DAO) 竊取數百萬美元ETH的黑客進行了競賽。在此事件中，該組織反擊了黑客并拯救了大約1500萬美元的ETH。第二年，在以太坊客戶端Parity遭到黑客攻擊后，自稱白帽集團(White Hat group)的同一個組織拯救了2億美元的加密貨幣。

最近，伴隨著針對加密貨幣協議和用戶的黑客攻擊，這種做法變得相對更頻繁。區塊鏈網絡安全公司Immunefi的一份報告顯示，僅今年前三個月，黑客和騙子就竊取了約12.3億美元的加密貨幣。

sassal.eth：Web3已經出現了，只是還沒有平均分配:金色財經報道，天使投資人、EthHub聯合創始人sassal.eth在推特中表示，Web3已經出現了，只是還沒有平均分配。[2021/12/16 7:42:26]

Motherboard采訪了包括LP在內的五個人，他們說他們有參與這種白帽活動的直接經驗。

區塊鏈安全公司Zellic的聯合創始人Stephen Tong在一次在線聊天中告訴Motherboard：“在Web3中，白帽子確實被視為英雄。這絕對是一個雙贏的局面。”“這是可以被接受的，因為如果我不做，那還有誰來做呢？”我總比黑帽子強。”

從法律上講，目前還不清楚在未經他人同意的情況下，對他人的錢包或協議進行白帽活動是否合法。

專門研究加密貨幣相關問題的律師Preston Byrne在一封電子郵件中告訴Motherboard:“白帽黑客行為雖然高尚，但在沒有得到目標明確同意的情況下，在加密貨幣領域還是充滿了風險。”“披露漏洞是一回事；假設所有者對第三方資金的權利，無論出于何種原因都是另一回事，如果目標對黑客行為不滿，無論出于何種原因，這都可能使黑客承擔民事和刑事責任。”

Preston說:“白帽/灰帽黑客的問題是，當一個目標(相當正確地)對漏洞的通知心存感激時，另一個目標可能會破壞他們的堆棧，轉而報警。”“當白帽發現智能合約系統中的漏洞時，最好的方法是私下通知開發人員，然后撒手不管。你不是超人，拯救世界不是你的問題。”

當涉及從用戶錢包甚至黑客錢包中獲取加密貨幣時，白帽黑客的做法可以與有爭議的黑客攻擊概念相提并論。在網絡安全領域，當數據泄露的受害者試圖自行恢復被盜文件并收集有關黑客行蹤和身份的信息時，就會發生黑客回擊的情況。盡管備受爭議，但鑒于法律風險，黑客反擊確實發生了，盡管是秘密進行的。

一些參與加密貨幣世界“白帽活動”的人試圖避免被起訴的風險。

Emiliano Bonassi是區塊鏈網絡安全研究員，也曾參與過幾次白帽行動。在去年的一個案例中，加密投資平臺Primitive Finance用戶的錢包被暴露給了任何知道如何利用漏洞的人。

Bonassi在電話中告訴Motherboard：“我們拯救該協議用戶的唯一方法是從他們的錢包中提取資金，然后通知他們。所以這是你可能會遇到的最糟糕的情況，因為你基本上不得不抽走用戶的資金。”

在這件事例中，Bonassi與Immunefi創始人Mitchell Amador以及加密貨幣網絡安全公司Dedaub的研究人員進行了合作。根據白帽黑客的事后分析，Primitive Finance的人員從一開始就參與了救援是至關重要的。

與LP不同，Bonassi他們沒有使用自己的錢包來拯救資金，只是向協議開發人員展示了如何自己進行白帽黑客行動。

Bonassi說:“我們向他們演示了如何執行、制定了執行的腳本、進行了模擬，然后對他們說:‘我們來支持你們，你們執行命令，如果出了問題，我們將采取行動。’”

一些區塊鏈網絡安全研究人員很清楚使用他們自己的錢包、以及在未經使用易受攻擊錢包的用戶或構建易受攻擊協議的開發人員同意的情況下進行黑客攻擊的風險。

一名網絡安全研究人員之所以在接受Motherboard采訪時要求匿名，這正是因為在拯救其他人的加密貨幣時使用人們的錢包存在風險，他說他過去曾在某些情況下這么做。

還有一些人干脆不用自己的錢包。

在加密貨幣投資公司Paradigm工作的匿名安全研究員Samczsun在電話中告訴Motherboard：“作為一項個人政策，我從來不會自己發送交易。我當然不會把資金交給自己保管。”“我的政策是:‘我會告訴你你需要知道的一切，讓你了解最新情況。然后我會讓你做決定。他說，我不認為自己是那種會介入并強行控制局面的人。如果你想讓我幫忙，我會幫忙的。如果你想自己處理這件事，我很樂意站在一邊，讓你來處理。”

曾在一些白帽黑客活動中拯救了數百萬美元加密貨幣的Samczsun說“對我個人來說，我并不想知道暫時獲得九位數的資產然后處置它們會產生什么影響。因此，如果可能的話，我會完全避免這樣做。我不確定《見義勇為法》是否會延伸到區塊鏈。”

根據Preston的說法，《計算機欺詐和濫用法案》(CFAA)可以懲罰那些從某人的錢包中拿走加密貨幣等造成損失的行為，所以Samczsun的做法是正確的。

Preston說:“為了避免懷疑，你絕對不應該決定自己動手解決問題，你是在玩火。要記住，你有可能引起檢察官的注意。”

在Chainalysis上個月組織的一次會議上，紐約縣地區檢察官辦公室的網絡犯罪和身份盜竊局局長Elizabeth Roper表示，“白帽”是法律的“一個真正的灰色地帶”，它可能是檢察官們想要研究的東西。

Roper說:“如果它最終拯救了平臺上的每個人、每個用戶和一大筆錢，而做這件事的人似乎立即披露了它，也許我們不會使用我們的資源來起訴那個人，但這同樣取決于具體的案件。”

當被問及她是否擔心不必要的后果時，LP表現得很平靜。她解釋說，對她來說，風險收益計算是基于這樣一個事實:通常涉及的加密貨幣項目規模相對較小，甚至可能不在美國，而且如果她幫助他們，對方可能不會提出指控。

LP說:“我被起訴的可能性很小，但我可以挽救其中一些資金，確保某人不會徹底破產，度過非常糟糕的一周、一個月、一年的可能性很大”

對于白帽來說，一個更有可能的結果是因為他們會因面對的麻煩而得到獎勵。Fantasm案件并不是LP和她的RugDoc團隊唯一一次拯救資金。在這個案例中，他們沒有要求獲得獎勵。而其他時候，他們有要求。

LP說:“如果這是一個聲名狼藉的大型項目，而且資金還有剩余，我們會說:‘好了，伙計們，我們剛剛救了你們，你們應該給我們一些東西。

Bonassi說，如果沒有官方的漏洞賞金，通常標準的賞金是可能被盜金額的10%。但他過去也曾在沒有任何補償的情況下實施了白帽黑客攻擊并報告了漏洞。這不僅是出于幫助相關加密貨幣項目，也是出于幫助整個生態系統的意愿。除了阻止潛在的黑客攻擊，Bonassi還喜歡把白帽黑客視為每個相關人員的學習機會。

獎勵越大，研究人員就越有可能有動力去尋找漏洞，并報告它們。

Bonassi說：“我們一開始的漏洞賞金是1萬，然后是10萬。現在懸賞100萬到1000萬。可能在明年，我們將看到數億美元。”“因為Web3和其他行業的不同之處在于，黑客攻擊發生的幾秒鐘內你就可以獲得無限的金錢。因此，我們需要大力推行激勵措施以確保其安全。”

轉自公號：老雅痞

信息來源自Vice，略有修改，作者Lorenzo Franceschi-Bicchierai

Tags：加密貨幣WEBWEB3區塊鏈加密貨幣與數字人民幣的區別WEBOO價格METAWEB3PA幣哪個是區塊鏈最核心的內容

DAI