Cointime

扫码下载App
iOS & Android

穿越黑暗森林,samczsun 推出的「Security Alliance」为何获集体打 Call?

2 月 14 日晚间,Paradigm 安全主管 samczsun 官宣发起白帽黑客安全港计划「Security Alliance」,迅速在加密世界引起波澜,Uniswap 等头部协议与慢雾科技、OpenZeppelin 等业内安全机构,以及 Messari 联创兼 CEO Ryan Selkis 等知名人士纷纷互动并打 Call 支持。

作为 Web3 安全领域最负盛名的顶级白帽黑客,samczsun 此番推出的所谓白帽黑客安全港计划「Security Alliance」究竟是什么,具体要做哪些事情,又可能会对加密行业和 Web3 安全领域产生哪些影响?

「Security Alliance」是什么?

首先词如其名,Security Alliance 的英文直译是安全联盟,简单理解就是致力于网络安全的公益联盟组织:

Security Alliance 组建了一支由网络安全领域最优秀的团队组成的团队,通过 SEAL911 和 Wargames 等举措来帮助确保 DeFi 的安全。

按照 samczsun 披露的信息,早在 2022 年 8 月跨链互操作性协议 Nomad 遭到攻击时(Foresight News 注,Nomad 事件损失金额达 1.9 亿美元),他就和 a16z crypto 的安全团队合作参与了对黑客的识别分析。

在这个过程中,他们合作帮助 Nomad 项目从几个白帽黑客那里恢复了高达 3880 万美元的资金——这些白帽黑客故意抢先抽走资金,以保护资金免受攻击者的影响,而这也构成了最早的 Security Alliance 组织雏形与运行理念。

因为白帽黑客往往是第一个注意到或收到漏洞预警的人,这其实也是 samczsun、慢雾、PeckShield 等我们所熟知的安全研究人员 / 机构的 X 日常推文内容。

但问题在于,由于白帽黑客救援的法律模糊性,许多技术更成熟、具备白帽意愿的开发人员和安全研究人员无法提供帮助:

要么是因为工作原因不被允许,要么是其他因素的顾虑,在此背景之下,如果能有一个法律框架,可以让白帽用行动来体现他们的善意,那么更多的人就可以参与进来,Nomad 事件就是一个典型的例子。

综上,samczsun 才决定建立一个能够让安全人员无后顾之忧、且更快更好针对安全事件进行响应的相关组织,于是经过一年多的努力,Security Alliance 诞生——「消除可能阻止白帽黑客们实时保护我们的协议的障碍,赋予安全研究人员权力,这样如果其他一切努力都失败了,白帽黑客就可以作为最后一道防线」。

简言之,Security Alliance 旨在为白帽黑客提供法律保护框架,并尽快通知易受攻击系统的所有者、提供攻防演练环境和支持,目前 Security Alliance 已在 GitHub 发布协议草案,并开放社区意见征集,为期 1 个月,至 2024 年 3 月 14 日结束。

官网显示,Security Alliance 拥有 50 多个捐助者和合作伙伴,包括 Paradigm、以太坊基金会、a16z crypto、Vitalik Buterin、Filecoin 基金会、Coinbase、Dragonfly、Framework、Electric Capital 等,阵容堪称顶配。

三个主要产品 / 服务

目前 Security Alliance 列出的主要产品 / 服务主要有 3 个:白帽安全港协议(Whitehat Safe Harbor Agreement)、SEAL 911、SEAL Wargames。

其中加密研究员 @lex_node 与 Delphi Labs 帮助制定了安全港协议,此外还计划在今年发布更多配套举措。

白帽安全港协议:白客操作规范

如上文所示,Security Alliance 作为一个中立的公益平台,汇集了来自加密领域许多不同赛道的顶级专家,近乎形成了一个网络,可以访问整个加密生态系统,以找到任何专业领域的最佳人才,帮助执行计划。

基于此,白帽安全港协议就是专门针对主动攻击事件的一个综合框架,可以理解为一个「白帽安操作规范」,在这个框架中,协议可以为在主动攻击事件期间帮助恢复资产的白帽黑客提供法律保护。

也就是说它类似于漏洞赏金,如果协议在主动攻击事件发生之前采用了安全港协议,白帽黑客将清楚地了解自己可以如何在潜在的救援中采取行动,譬如:

  • 哪些资产在协议范围内(例如特定地址的任何 ERC20 代币)?
  • 成功的白帽救援将获得什么奖励(例如 10% 的获救资金,或上限为 100 万美元)?
  • 获救的资金应退还至何处(例如特定的多签地址)?

这就等于白帽黑客可以直观明白自己的操作边界、行为准则以及奖励标准,获得法律保障,当然如果白帽决定进行白帽救援,他们必须遵循协议中规定的流程。

SEAL 911:7×24 紧急热线

「SEAL 911」的产品形式是一个 Telegram 机器人,简单来看,它可以视为一条直通项目方与团队的紧急热线,任何人都可以在紧急情况下使用它来与某一项目团队取得联系,用户向其发送的任何消息都将自动转发给对应项目团队。

试想一下,如果某天你率先发现了针对某协议的链上攻击线索,在这种紧急情况时,时间就是金钱,但你可能很难第一时间知道向谁求助或进行披露提醒,尤其是怎么第一时间通知到官方人员。

而 SEAL 911 就是提供这样一个通道,用户、开发人员和其他需要获得紧急安全建议、帮助披露关键漏洞或简单地与其他研究人员同步进展的用户,可以使用该 Telegram 机器人与经过仔细审查的专家志愿者团队联系。

随后 SEAL 911 团队将对请求进行分类并直接提供帮助,或将其路由到正确的联系点。按照 samczsun 的说法,在过去的 6 个月中,SEAL 911 已经帮助中断、拦截和纠正了几个黑客攻击,并帮助了许多有其他安全问题的人。

SEAL Wargames:提供红蓝攻防环境

「SEAL Wargames」,官方定位是「红色团队演习」,简单理解就是提供一个红蓝攻防环境。

因为许多开发人员可能以前从未经历过安全事件的高强度环境,这使得他们很难保持专注和高效,因为每秒钟都可能意味着被攻击者损失数百万美元。

而 SEAL Wargames 可以为项目提供所需的资源和培训,以便为极端场景做好准备,且包括两个阶段:

  • 桌面演练,SEAL Chaos 团队与项目开发人员共同制定假设的攻击场景,并记录潜在的弱点;
  • 模拟攻击,SEAL Chaos 团队利用测试网络上的漏洞,挑战项目开发人员,分拣不同类别的漏洞,并进行修复;

因此如果一个项目被黑需要应急,或者需要提前红队演练以应对极端情况,都可以使用该工具。

samczsun 何许人也?

作为 Paradigm 研究合伙人兼安全主管,samczsun 专注于 Paradigm 的投资组合公司以及对安全和相关主题的研究。

近两年来,samczsun 屡屡第一时间预警并活跃在大大小小的 Web3 安全事件中,应该是加密行业大家最耳熟能详的白帽黑客:

据不完全统计,过去几年,Samczsun 陆续通过直接示警,至少帮助数十个项目提前发现相关漏洞,避免了数亿美元的损失,包括 SushiSwap、ENS 等。

如果按时间线梳理,会发现 samczsun 在 Web3 安全上的开源贡献是一脉相承的:

2022 年 9 月,samczsun 开发并上线以太坊地址标记及搜索网站 Ethereum Tags Database,并表示 Ethereum Tags Database 可以用来标记以太坊地址,任何人都可以为之做出贡献,并按地址、标签(使用通配符)搜索;

2023 年 8 月,推出上文提到的 Telegram 机器人「SEAL 911」;

小结

我们常说,「Web3 世界是技术人才和黑客的天堂」,尤其是 2020 年的 DeFi 盛夏以来,Web3 世界的安全风险就像是一场不对称的单向猎杀,对黑客而言无疑是取之不尽的免费提款机,而对项目方和普通用户而言,更像是一把不知何时会落下的「达摩克里斯之剑」。

而 Security Alliance 通过一连串的组合拳,允许受黑客等安全事件影响的加密用户访问 7x24 小时紧急热线,还为白帽黑客在抢救被盗资金时提供法律保护,并为 Web3 开发人员提供免费练习,模拟针对组织系统的对抗性网络攻击,以确定漏洞并准备有效的响应。

至少就目前的加密领域而言,这已经是一套堪称当下最完善的 Web3 安全解决方案,至于能否让大家在穿越加密黑暗森林时少一点残酷,拭目以待。

评论

所有评论

推荐阅读

  • 苹果与博通新签订多年期协议 预计将超300亿美元

    7月8日,苹果:公司与博通新签订多年期协议,该协议预计将超过300亿美元,生产超过150亿颗美国制造的芯片。新的多年期协议还包括对科罗拉多州柯林斯堡设施的扩建。博通将投资15亿美元扩建柯林斯堡的设施。

  • 三菱日联:不应过分解读美联储会议纪要细节

    7月8日讯,三菱日联分析师Derek Halpenny表示,今晚美联储将公布6月FOMC会议纪要,但建议不要对会议纪要细节过度解读,因为6月会议前的背景与现在已有很大不同。点阵图很可能是在会议前一周(截至6月12日当周)提交的,如果现在召开会议,FOMC点阵图不会显示有九人支持加息。就这一点而言,隔夜指数互换曲线对加息的定价似乎偏高。目前7月29日会议加息的可能性定价仍接近30%,考虑到劳动力市场数据已经走弱,这一定价看起来过高。截至2027年3月,市场定价了近40个基点的加息,但我们认为届时降息的可能性大于加息。(金十)

  • 多家基石投资人、国资机构及战略投资者集体表态:长期看好MiniMax

    7月8日,在MiniMax基石投资者解禁窗口临近之际,超八成 Pre IPO 及基石股东明确表态长期看好并将继续持有。表态机构包括 Aspex、博裕、IDG、Janchor、Martis Fund等基石投资人,国寿投资、徐汇资本等国资机构,以及阿里、米哈游、云启、明势等早期股东,涵盖产业战略投资者、国际长线基金、国有资本及地方产业投资平台、市场化专业投资机构和公募基金等多元类型。8日下午,MiniMax盘中快速拉升涨近20%,最高报389.8港元。

  • 以色列正在为可能与伊朗恢复战斗做准备

    7月8日,据以色列媒体Walla,以军与美国中央司令部就伊朗问题举行会议,以色列正在为可能与伊朗恢复战斗做准备。

  • 新罕布什尔州将就1亿美元比特币支持债券提案举行公开听证会

    据The Block报道,美国新罕布什尔州官员将于周三就一项发行最高1亿美元比特币支持债券的提案举行公开听证会。该提案最终仍需获得州长凯利·阿约特(Kelly Ayotte)及执行委员会的批准方可落地。

  • Kraken过去24小时流出2108枚BTC

    据数据监测,Kraken交易所出现大额资金流动。过去24小时,该交易所钱包流出2108枚BTC,价值2.11亿美元,当前其BTC钱包余额为14.59万枚BTC。

  • 特朗普结束停火发言后 欧洲央行加息预期升温

    7月8日讯,市场定价显示,欧洲央行今年进一步收紧货币政策的预期升至36个基点,高于周二的25个基点,此前特朗普发表停火结束言论。(金十)

  • BTC跌破62000美元

    行情显示,BTC跌破62000美元,现报61984.58美元,24小时跌幅达到1.82%,行情波动较大,请做好风险控制。

  • 现货白银日内跌幅达3.00%

    现货白银日内跌幅达3.00%,现报58.18美元/盎司。

  • 油气股盘前普涨 埃克森美孚涨超2% 美伊冲突再起国际油价大涨

    7月8日消息,美股油气股盘前普涨,埃克森美孚、戴文能源涨超2%,西方石油、雪佛龙、康菲石油涨超1%。今年以来,西方石油、威廉姆斯年内涨幅均超26%,埃克森美孚累涨近20%,雪佛龙、康菲石油、戴文能源年内累涨约16%~17%。 消息面上,美国总统特朗普8日在北约峰会上说,他认为美伊谅解备忘录“已终结”。此前美国已撤销一项授权允许伊朗石油销售的通用许可,恢复对伊朗石油制裁。有官员称此次对伊朗的打击行动是“惩罚性行动”,短时间内不会结束。地缘冲突硝烟再起刺激国际油价大涨,美、布两油日内均涨超5%。 此外,埃克森美孚发布业绩预告。公司表示,第二季度原油市场大涨带来37亿美元的上游利润增量,炼油与化工业务贡献33亿美元的额外收益。但埃克森美孚指出,上述利好因素部分被中东地区生产中断所造成的约12亿美元损失所抵消。该公司将于7月31日正式发布完整财报。