作者:Frank,Foresight News
2 月 14 日晚间,Paradigm 安全主管 samczsun 官宣发起白帽黑客安全港计划「Security Alliance」,迅速在加密世界引起波澜,Uniswap 等头部协议与慢雾科技、OpenZeppelin 等业内安全机构,以及 Messari 联创兼 CEO Ryan Selkis 等知名人士纷纷互动并打 Call 支持。
作为 Web3 安全领域最负盛名的顶级白帽黑客,samczsun 此番推出的所谓白帽黑客安全港计划「Security Alliance」究竟是什么,具体要做哪些事情,又可能会对加密行业和 Web3 安全领域产生哪些影响?
「Security Alliance」是什么?首先词如其名,Security Alliance 的英文直译是安全联盟,简单理解就是致力于网络安全的公益联盟组织:
Security Alliance 组建了一支由网络安全领域最优秀的团队组成的团队,通过 SEAL911 和 Wargames 等举措来帮助确保 DeFi 的安全。
按照 samczsun 披露的信息,早在 2022 年 8 月跨链互操作性协议 Nomad 遭到攻击时(Foresight News 注,Nomad 事件损失金额达 1.9 亿美元),他就和 a16z crypto 的安全团队合作参与了对黑客的识别分析。
在这个过程中,他们合作帮助 Nomad 项目从几个白帽黑客那里恢复了高达 3880 万美元的资金——这些白帽黑客故意抢先抽走资金,以保护资金免受攻击者的影响,而这也构成了最早的 Security Alliance 组织雏形与运行理念。
因为白帽黑客往往是第一个注意到或收到漏洞预警的人,这其实也是 samczsun、慢雾、PeckShield 等我们所熟知的安全研究人员 / 机构的 X 日常推文内容。
但问题在于,由于白帽黑客救援的法律模糊性,许多技术更成熟、具备白帽意愿的开发人员和安全研究人员无法提供帮助:
要么是因为工作原因不被允许,要么是其他因素的顾虑,在此背景之下,如果能有一个法律框架,可以让白帽用行动来体现他们的善意,那么更多的人就可以参与进来,Nomad 事件就是一个典型的例子。
综上,samczsun 才决定建立一个能够让安全人员无后顾之忧、且更快更好针对安全事件进行响应的相关组织,于是经过一年多的努力,Security Alliance 诞生——「消除可能阻止白帽黑客们实时保护我们的协议的障碍,赋予安全研究人员权力,这样如果其他一切努力都失败了,白帽黑客就可以作为最后一道防线」。
简言之,Security Alliance 旨在为白帽黑客提供法律保护框架,并尽快通知易受攻击系统的所有者、提供攻防演练环境和支持,目前 Security Alliance 已在 GitHub 发布协议草案,并开放社区意见征集,为期 1 个月,至 2024 年 3 月 14 日结束。
官网显示,Security Alliance 拥有 50 多个捐助者和合作伙伴,包括 Paradigm、以太坊基金会、a16z crypto、Vitalik Buterin、Filecoin 基金会、Coinbase、Dragonfly、Framework、Electric Capital 等,阵容堪称顶配。
三个主要产品 / 服务目前 Security Alliance 列出的主要产品 / 服务主要有 3 个:白帽安全港协议(Whitehat Safe Harbor Agreement)、SEAL 911、SEAL Wargames。
其中加密研究员 @lex_node 与 Delphi Labs 帮助制定了安全港协议,此外还计划在今年发布更多配套举措。
白帽安全港协议:白客操作规范如上文所示,Security Alliance 作为一个中立的公益平台,汇集了来自加密领域许多不同赛道的顶级专家,近乎形成了一个网络,可以访问整个加密生态系统,以找到任何专业领域的最佳人才,帮助执行计划。
基于此,白帽安全港协议就是专门针对主动攻击事件的一个综合框架,可以理解为一个「白帽安操作规范」,在这个框架中,协议可以为在主动攻击事件期间帮助恢复资产的白帽黑客提供法律保护。
也就是说它类似于漏洞赏金,如果协议在主动攻击事件发生之前采用了安全港协议,白帽黑客将清楚地了解自己可以如何在潜在的救援中采取行动,譬如:
哪些资产在协议范围内(例如特定地址的任何 ERC20 代币)?成功的白帽救援将获得什么奖励(例如 10% 的获救资金,或上限为 100 万美元)?获救的资金应退还至何处(例如特定的多签地址)?这就等于白帽黑客可以直观明白自己的操作边界、行为准则以及奖励标准,获得法律保障,当然如果白帽决定进行白帽救援,他们必须遵循协议中规定的流程。
SEAL 911:7×24 紧急热线「SEAL 911」的产品形式是一个 Telegram 机器人,简单来看,它可以视为一条直通项目方与团队的紧急热线,任何人都可以在紧急情况下使用它来与某一项目团队取得联系,用户向其发送的任何消息都将自动转发给对应项目团队。
试想一下,如果某天你率先发现了针对某协议的链上攻击线索,在这种紧急情况时,时间就是金钱,但你可能很难第一时间知道向谁求助或进行披露提醒,尤其是怎么第一时间通知到官方人员。
而 SEAL 911 就是提供这样一个通道,用户、开发人员和其他需要获得紧急安全建议、帮助披露关键漏洞或简单地与其他研究人员同步进展的用户,可以使用该 Telegram 机器人与经过仔细审查的专家志愿者团队联系。
随后 SEAL 911 团队将对请求进行分类并直接提供帮助,或将其路由到正确的联系点。按照 samczsun 的说法,在过去的 6 个月中,SEAL 911 已经帮助中断、拦截和纠正了几个黑客攻击,并帮助了许多有其他安全问题的人。
SEAL Wargames:提供红蓝攻防环境「SEAL Wargames」,官方定位是「红色团队演习」,简单理解就是提供一个红蓝攻防环境。
因为许多开发人员可能以前从未经历过安全事件的高强度环境,这使得他们很难保持专注和高效,因为每秒钟都可能意味着被攻击者损失数百万美元。
而 SEAL Wargames 可以为项目提供所需的资源和培训,以便为极端场景做好准备,且包括两个阶段:
桌面演练,SEAL Chaos 团队与项目开发人员共同制定假设的攻击场景,并记录潜在的弱点;模拟攻击,SEAL Chaos 团队利用测试网络上的漏洞,挑战项目开发人员,分拣不同类别的漏洞,并进行修复;因此如果一个项目被黑需要应急,或者需要提前红队演练以应对极端情况,都可以使用该工具。
samczsun 何许人也?作为 Paradigm 研究合伙人兼安全主管,samczsun 专注于 Paradigm 的投资组合公司以及对安全和相关主题的研究。
近两年来,samczsun 屡屡第一时间预警并活跃在大大小小的 Web3 安全事件中,应该是加密行业大家最耳熟能详的白帽黑客:
据不完全统计,过去几年,Samczsun 陆续通过直接示警,至少帮助数十个项目提前发现相关漏洞,避免了数亿美元的损失,包括 SushiSwap、ENS 等。
如果按时间线梳理,会发现 samczsun 在 Web3 安全上的开源贡献是一脉相承的:
2022 年 9 月,samczsun 开发并上线以太坊地址标记及搜索网站 Ethereum Tags Database,并表示 Ethereum Tags Database 可以用来标记以太坊地址,任何人都可以为之做出贡献,并按地址、标签(使用通配符)搜索;
2023 年 8 月,推出上文提到的 Telegram 机器人「SEAL 911」;
小结我们常说,「Web3 世界是技术人才和黑客的天堂」,尤其是 2020 年的 DeFi 盛夏以来,Web3 世界的安全风险就像是一场不对称的单向猎杀,对黑客而言无疑是取之不尽的免费提款机,而对项目方和普通用户而言,更像是一把不知何时会落下的「达摩克里斯之剑」。
而 Security Alliance 通过一连串的组合拳,允许受黑客等安全事件影响的加密用户访问 7x24 小时紧急热线,还为白帽黑客在抢救被盗资金时提供法律保护,并为 Web3 开发人员提供免费练习,模拟针对组织系统的对抗性网络攻击,以确定漏洞并准备有效的响应。
至少就目前的加密领域而言,这已经是一套堪称当下最完善的 Web3 安全解决方案,至于能否让大家在穿越加密黑暗森林时少一点残酷,拭目以待。