2月14日晚间,Paradigm安全主管samczsun宣布发起白帽黑客安全港计划「安全联盟」,受到加密货币世界的关注。联盟旨在为白帽黑客提供法律保护框架,并提供紧急热线和攻防演练支持。安全联盟已在GitHub发布协议草案,并开放社区意见征求,持续一个月。此外,安全联盟推出的主要产品/服务有3个:白帽安全港协议、SEAL 911和海豹突击队战争游戏。samczsun是Paradigm的研究合伙人兼安全主管,专注于安全和相关主题的研究,通过直接示警有效帮助项目发现漏洞。安全联盟为加密货币用户提供了一套完善的Web3安全解决方案,为加密货币世界提供了更多安全保障。
作者:Frank,前瞻新闻
2月14日晚间,Paradigm安全主管samczsun官宣发起白帽黑客安全港计划「安全联盟」,迅速在加密货币世界引发波澜,Uniswap等头部协议与慢雾科技、OpenZeppelin等创安全机构,以及Messari联创兼CEO Ryan Selkis等人纷纷互动并打call品牌支持。
作为Web3安全领域最负盛名的顶级白帽黑客,samczsun此番推出的所谓白帽黑客安全港计划「安全联盟」到底是什么,具体做了哪些事情,又可能针对加密货币行业和Web3安全领域产生有哪些影响?
「安全联盟」是什么?
首先词如其名,安全联盟的英文直译是联盟,简单理解就是致力于安全网络安全的公益联盟组织:
安全联盟组建了一个由网络安全领域最优秀的团队组成的团队,通过 SEAL911 和 Wargames 等举措来帮助确保 DeFi 的安全。
根据 samczsun 披露的信息,早在 2022 年 8 月跨链互操作性协议 Nomad 发起攻击时(Foresight News 注,Nomad 事件损失金额达 1.9 亿美元),他就和 a16z crypto 的安全团队合作参与了黑客的识别分析。
在这个过程中,他们合作帮助Nomad项目从几个白帽黑客那里恢复了高达3880万美元的资金——这些白帽黑客故意抢先走抽资金,以保护资金外壳攻击者的影响,而这也构成了初步的安全联盟组织雏形与运行理念。
因为白帽黑客往往是第一个注意到或收到漏洞预警的人,这其实也是 samczsun、慢雾、PeckShield 等我们所熟知的安全研究人员/机构的 X 日常推文内容。
但问题在于,由于白帽黑客救援的法律模糊性,许多技术更成熟、白帽愿意的开发人员和安全研究人员无法提供帮助:
或者是因为工作原因不被允许,或者是其他因素的考虑,在此背景下,如果能够有一个法律框架,可以让白帽用行动来体现他们的善意,那么更多的人就可以参与进来,Nomad事件就是一个典型的例子。
综上,samczsun才决定成立一个能够让安全人员无后顾之忧、且更快更好的针对安全事件进行响应的相关组织,于是经过一年多的努力,安全联盟诞生了——「消除可能阻止白帽黑客们实时保护我们的协议障碍,赋予安全研究人员权力,这样如果其他一切努力都失败了,白帽黑客就可以作为最后一道防线”。
简言之,安全联盟旨在为白帽黑客提供法律保护框架,并加快通知易受攻击系统的所有者、提供攻防演环境练习和支持,目前安全联盟已在 GitHub 发布协议草案,并开放社区意见征求集,持续1个月,至2024年3月14日结束。
官网显示,安全联盟拥有50多名捐赠者和合作伙伴,包括Paradigm、以太坊基金会、a16z crypto、Vitalik Buterin、Filecoin基金会、Coinbase、Dragonfly、Framework、Electric Capital等,堪称阵容顶配。
三大主要产品/服务
目前安全联盟推出的主要产品/服务主要有3个:白帽安全港协议(Whitehat Safe Harbor Protocol)、SEAL 911、SEAL Wargames。
其中加密货币研究员@lex_node与Delphi Labs帮助制定了安全港协议,此外还计划在今年发布更多行动举措。
白帽安全港协议:白客操作规范
如上文所示,安全联盟作为一个中立的公益平台,汇集了来自加密货币领域众多不同迭代的顶级专家,近乎形成了一个网络,可以访问整个加密货币生态系统,以找到任何专业领域的最佳人才,帮助执行计划。
基于此,白帽安全港协议就是专门针对主动攻击事件的一个综合框架,可以理解为一个「白帽安操作规范」,在这个框架中,协议可以为在主动攻击事件期间帮助恢复资产的白帽黑客提供法律保护。
这相当于漏洞奖励金,如果协议在主动攻击事件发生之前采用了安全港协议,白帽黑客将明确了解自己可以如何在潜在的救援中采取行动,打比方:
- 哪些资产在协议范围内(例如特定地址的任何 ERC20 代币)?
- 成功的白帽救援将获得什么奖励(例如10%的获救资金,或上限为100万美元)?
- 获救的资金应退还至何处(例如特定的多标签地址)?
这相当于白帽黑客可以理解自己的操作边界、行为标准以及奖励标准,获得法律保障,当然如果白帽决定进行白帽救援,他们必须遵循协议中规定的流程。
SEAL 911:7×24紧急热线
「SEAL 911」的产品任何形式都是一个 Telegram 机器人,简单来看,它可以看作是一条直通项目方与团队的紧急热线,所有人都可以在紧急情况下使用它来与某个项目团队取得联系,用户向其发送的任何消息都会自动转发给对应项目团队。
试想一下,如果某天你首先找到了针对某协议的链上攻击线索,在这种紧急情况下,时间就是金钱,但你可能很难第一时间知道向谁求助或进行披露提醒,尤其是怎么回事第一时间到通知官方人员。
而 SEAL 911 就是提供这样一个通道,用户、开发人员和其他需要获得紧急安全建议、帮助披露关键漏洞或简单地与其他研究人员同步进展的用户,可以使用该 Telegram 机器人与经过仔细审查的专家志愿者团队联系。
根据 SEAL 911 团队成员请求进行分类并直接提供帮助,或将其路由到正确的联系点。按照 samczsun 过去的说法,在 6 个月中,SEAL 911 已经帮助中断、拦截和纠正了几个黑客攻击,并帮助了许多有其他安全问题的人。
海豹突击队战争游戏:提供红蓝攻防环境
「海豹突击队战争游戏」,官方定位是「红色团队操演」,简单理解就是提供一个红蓝攻防环境。
因为许多开发人员可能以前从未经历过安全事件的高强度环境,这使得他们很难保持专注和,因为每个参与者都可能意味着被攻击者损失数百万美元。
而海豹突击队兵棋推演可以为项目提供所需的资源和培训,以便为极端场景做好准备,并且包括两个阶段:
- 桌面演练,SEAL Chaos 团队与项目开发人员共同制定假设的攻击场景,并记录潜在的弱点;
- 模拟攻击,SEAL Chaos团队利用测试网络上的漏洞,挑战项目开发人员,分拣不同类别的漏洞,并进行修复;
因此,如果一个项目被黑需要应急训练,或者需要提前红队演练以应对极端情况,都可以使用该工具。
samczsun 何许人也?
作为 Paradigm 研究合伙人兼安全主管,samczsun 专注于 Paradigm 的投资组合公司以及对安全和相关主题的研究。
近两年来,samczsun 屡屡第一时间预警并活跃在大带宽 Web3 安全事件中,应该是加密货币行业大家最耳熟能详的白帽黑客:
据不统计,过去几年,Samczsun陆续通过直接示警,至少完全帮助了整个项目提前发现相关漏洞,避免了数亿美元的损失,包括SushiSwap、ENS等。
如果按时间线梳理,会发现samczsun在Web3安全上的开源贡献是一个脉相承的:
2022年9月,samczsun开发并上线以太坊地址标记及搜索网站以太坊标签数据库,并表示以太坊标签数据库可以用来标记以太坊地址,任何人都可以为之做出贡献,并按地址、标签(使用通配符)搜索;
2023年8月,推出上文提到的Telegram机器人「SEAL 911」;
小结
我们常说,「Web3 世界是技术人才和黑客的天堂」,尤其是 2020 年 DeFi 盛夏以来,Web3 世界的安全风险就像是一场并不昂贵的单向猎杀,对黑客而言无疑是取之不尽的免费提款机,而对于项目方和普通用户而言,却是一把不知何时会落下的「达摩克里斯之剑」。
而安全联盟通过一连串的组合拳,允许受黑客等安全事件影响的加密货币用户访问7×24小时紧急热线,还为白帽黑客在抢救被盗资金时提供法律保护,并为Web3开发人员提供免费演练、模拟针对组织系统的对抗性网络攻击,修复漏洞并准备有效的响应。
至少就目前的加密货币领域而言,这已经是一套堪称最完善的Web3安全解决方案,直至能够让大家在穿越加密货币黑暗森林时少一点严厉,拭目以待。
推荐阅读 1财富杂志专访a16z合伙人Chris Dixon:加密货币哲学王的新道路
2024年1月27日 星期六 15:31:23 2RWA创业者的重要建议:优先执行法律工程
2024年1月25日 星期四 21:31:19