獲集體打Call,一文讀懂samczsun推出的「Security Alliance」

2024-02-18 12:02:12

原文作者:Frank,Foresight News

2 月 14 日晚間,Paradigm 安全主管 samczsun 官宣發起白帽黑客安全港計劃「Security Alliance」,迅速在加密世界引起波瀾,Uniswap 等頭部協議與慢霧科技、OpenZeppelin 等業內安全機構,以及 Messari 聯創兼 CEO Ryan Selkis 等知名人士紛紛互動並打 Call 支持。

作為 Web3 安全領域最負盛名的頂級白帽黑客,samczsun 此番推出的所謂白帽黑客安全港計劃「Security Alliance」究竟是什么,具體要做哪些事情,又可能會對加密行業和 Web3 安全領域產生哪些影響?

「Security Alliance」是什么?

首先詞如其名,Security Alliance 的英文直譯是安全聯盟,簡單理解就是致力於網絡安全的公益聯盟組織:

Security Alliance 組建了一支由網絡安全領域最優秀的團隊組成的團隊,通過 SEAL 911 和 Wargames 等舉措來幫助確保 DeFi 的安全。

按照 samczsun 披露的信息,早在 2022 年 8 月跨鏈互操作性協議 Nomad 遭到攻擊時(Foresight News 注,Nomad 事件損失金額達 1.9 億美元),他就和 a16z crypto 的安全團隊合作參與了對黑客的識別分析。

在這個過程中,他們合作幫助 Nomad 項目從幾個白帽黑客那裏恢復了高達 3880 萬美元的資金——這些白帽黑客故意搶先抽走資金,以保護資金免受攻擊者的影響,而這也構成了最早的 Security Alliance 組織雛形與運行理念。

因為白帽黑客往往是第一個注意到或收到漏洞預警的人,這其實也是 samczsun、慢霧、PeckShield 等我們所熟知的安全研究人員 / 機構的 X 日常推文內容。

但問題在於,由於白帽黑客救援的法律模糊性,許多技術更成熟、具備白帽意愿的开發人員和安全研究人員無法提供幫助:

要么是因為工作原因不被允許,要么是其他因素的顧慮,在此背景之下, 如果能有一個法律框架,可以讓白帽用行動來體現他們的善意,那么更多的人就可以參與進來 ,Nomad 事件就是一個典型的例子。

綜上,samczsun 才決定建立一個能夠 讓安全人員無後顧之憂、且更快更好針對安全事件進行響應的相關組織, 於是經過一年多的努力,Security Alliance 誕生——「消除可能阻止白帽黑客們實時保護我們的協議的障礙,賦予安全研究人員權力,這樣如果其他一切努力都失敗了,白帽黑客就可以作為最後一道防线」。

簡言之, Security Alliance 旨在為白帽黑客提供法律保護框架,並盡快通知易受攻擊系統的所有者、提供攻防演練環境和支持, 目前 Security Alliance 已在 GitHub 發布協議草案,並开放社區意見徵集,為期 1 個月,至 2024 年 3 月 14 日結束。

官網顯示,Security Alliance 擁有 50 多個捐助者和合作夥伴,包括 Paradigm、以太坊基金會、a16z crypto、Vitalik Buterin、Filecoin 基金會、Coinbase、Dragonfly、Framework、Electric Capital 等,陣容堪稱頂配。


三個主要產品 / 服務

目前 Security Alliance 列出的主要產品 / 服務主要有 3 個:白帽安全港協議(Whitehat Safe Harbor Agreement)、SEAL 911、SEAL Wargames。

其中加密研究員 @lex_node 與 Delphi Labs 幫助制定了安全港協議,此外還計劃在今年發布更多配套舉措。

白帽安全港協議:白客操作規範

如上文所示,Security Alliance 作為一個中立的公益平臺,匯集了來自加密領域許多不同賽道的頂級專家,近乎形成了一個網絡,可以訪問整個加密生態系統,以找到任何專業領域的最佳人才,幫助執行計劃。

基於此,白帽安全港協議就是專門針對主動攻擊事件的一個綜合框架,可以理解為一個「白帽安操作規範」,在這個框架中, 協議可以為在主動攻擊事件期間幫助恢復資產的白帽黑客提供法律保護。

也就是說它類似於漏洞賞金,如果協議在主動攻擊事件發生之前採用了安全港協議,白帽黑客將清楚地了解自己可以如何在潛在的救援中採取行動,譬如:

  • 哪些資產在協議範圍內(例如特定地址的任何 ERC 20 代幣)?

  • 成功的白帽救援將獲得什么獎勵(例如 10% 的獲救資金,或上限為 100 萬美元)?

  • 獲救的資金應退還至何處(例如特定的多籤地址)?

這就等於白帽黑客可以直觀明白自己的操作邊界、行為准則以及獎勵標准,獲得法律保障,當然如果白帽決定進行白帽救援,他們必須遵循協議中規定的流程。


SEAL 911 : 7 × 24 緊急熱线

「SEAL 911 」的產品形式是一個 Telegram 機器人,簡單來看,它可以視為 一條直通項目方與團隊的緊急熱线,任何人都可以在緊急情況下使用它來與某一項目團隊取得聯系, 用戶向其發送的任何消息都將自動轉發給對應項目團隊。

試想一下,如果某天你率先發現了針對某協議的鏈上攻擊线索,在這種緊急情況時,時間就是金錢,但你可能很難第一時間知道向誰求助或進行披露提醒,尤其是怎么第一時間通知到官方人員。

而 SEAL 911 就是提供這樣一個通道,用戶、开發人員和其他需要獲得緊急安全建議、幫助披露關鍵漏洞或簡單地與其他研究人員同步進展的用戶,可以使用該 Telegram 機器人與經過仔細審查的專家志愿者團隊聯系。

隨後 SEAL 911 團隊將對請求進行分類並直接提供幫助,或將其路由到正確的聯系點。按照 samczsun 的說法,在過去的 6 個月中,SEAL 911 已經幫助中斷、攔截和糾正了幾個黑客攻擊,並幫助了許多有其他安全問題的人。

SEAL Wargames:提供紅藍攻防環境

「SEAL Wargames」,官方定位是「紅色團隊演習」,簡單理解就是 提供一個紅藍攻防環境。

因為許多开發人員可能以前從未經歷過安全事件的高強度環境,這使得他們很難保持專注和高效,因為每秒鐘都可能意味着被攻擊者損失數百萬美元。

SEAL Wargames 可以為項目提供所需的資源和培訓,以便為極端場景做好准備, 且包括兩個階段:

  • 桌面演練,SEAL Chaos 團隊與項目开發人員共同制定假設的攻擊場景,並記錄潛在的弱點;

  • 模擬攻擊,SEAL Chaos 團隊利用測試網絡上的漏洞,挑战項目开發人員,分揀不同類別的漏洞,並進行修復;

因此如果一個項目被黑需要應急,或者需要提前紅隊演練以應對極端情況,都可以使用該工具。

samczsun 何許人也?

作為 Paradigm 研究合夥人兼安全主管,samczsun 專注於 Paradigm 的投資組合公司以及對安全和相關主題的研究。


近兩年來,samczsun 屢屢第一時間預警並活躍在大大小小的 Web3 安全事件中,應該是加密行業大家最耳熟能詳的白帽黑客:

據不完全統計,過去幾年,Samczsun 陸續通過直接示警,至少幫助數十個項目提前發現相關漏洞,避免了數億美元的損失,包括 SushiSwap、ENS 等。

如果按時間线梳理,會發現 samczsun 在 Web3 安全上的开源貢獻是一脈相承的:

2022 年 9 月,samczsun 开發並上线以太坊地址標記及搜索網站 Ethereum Tags Database,並表示 Ethereum Tags Database 可以用來標記以太坊地址,任何人都可以為之做出貢獻,並按地址、標籤(使用通配符)搜索;

2023 年 8 月,推出上文提到的 Telegram 機器人「SEAL 911 」;

小結

我們常說,「Web3 世界是技術人才和黑客的天堂」,尤其是 2020 年的 DeFi 盛夏以來,Web3 世界的安全風險就像是一場不對稱的單向獵殺,對黑客而言無疑是取之不盡的免費提款機,而對項目方和普通用戶而言,更像是一把不知何時會落下的「達摩克裏斯之劍」。

而 Security Alliance 通過一連串的組合拳, 允許受黑客等安全事件影響的加密用戶訪問 7 x 24 小時緊急熱线,還為白帽黑客在搶救被盜資金時提供法律保護,並為 Web3 开發人員提供免費練習,模擬針對組織系統的對抗性網絡攻擊, 以確定漏洞並准備有效的響應。

至少就目前的加密領域而言,這已經是一套堪稱當下最完善的 Web3 安全解決方案,至於能否讓大家在穿越加密黑暗森林時少一點殘酷,拭目以待。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

AI Agent 2024年回顧展望:我們從哪兒來,又將到哪兒去?

0x Jeff @web3_golem 2024 年 AI Agent 發展回顧 2024 年對於...

星球日報
6 7小時前

起底OKX客服部:平均3分鐘回復、100%反饋率、變被動為主動

Star 鮮少出席线下活動,卻以开放的姿態活躍於 X 平臺。他的推特傾向於親自回復用戶疑問和跟進用...

星球日報
4 7小時前

如何理解近期下跌走勢:第一波“特朗普震撼”來襲

作者 : @Web3_Mario 摘要 :上周加密貨幣市場經受了較大的回撤,市場上普遍歸因為美聯儲...

馬裏奧看Web3
5 7小時前

一文盤點 2025 年七大 DeFi 質押平臺:如何最大化 DeFi 質押收益?

撰文:Siddhant Kejriwal 編譯:Glendon,Techub News 加密貨幣行...

TechubNews
4 7小時前

特朗普也被“割”?旗下加密項目浮虧超百萬美元

聖誕節前後,加密市場似乎也隨着節日的到來進入休整。 自上周鮑威爾一句話帶崩加密市場後,整體市場下挫...

陀螺財經
4 7小時前

Blockworks Mippo:關於2025年的27個加密猜想

原文來源: @Mippo 編譯: Odaily星球日報( @OdailyChina ) 譯者:We...

星球日報
4 7小時前