加密货币:白帽救援的两难选择：仅通知项目方还是直接转移资产？

原文标题：《MeettheVigilantesWhoHackMillionsinCryptotoSaveItFromThieves》

原文作者：LorenzoFranceschi-Bicchierai

原文编译：郭倩雯，链捕手

3月9日清晨，LP仍在睡梦中，突然开始收到Telegram的电话。据她说，这绝不是一个好兆头。她穿着系扣睡衣，拉开卧室窗帘，从毯子中扯出笔记本电脑，戴上隐形眼镜。现在是时候去拯救别人的加密货币了——先黑掉他们。

LP是一位拥有博士学位的工程师，曾在硅谷一家律师事务所工作，目前是网络安全公司RugDoc和PaladinBlockchainSecurity的创始人，为保护隐私她不愿使用真实姓名。她想让大家知道，加密货币不仅意味着“住满好人的地下室”这样的场景。

打电话的是她的一个同事，他告诉她有人对一个叫Fantasm的加密货币协议的投资者进行攻击，当时该协议有数百万美元的流动性资金已被投资者锁定。

等她清醒过来，打开笔记本电脑，就开始与两位同事合作，试图击败黑客，尽可能多地挽救加密货币。在加密货币的世界里，由于区块链具有不可逆性，被盗的资金通常会永远消失，要拯救资金意味着需要先于窃贼进行黑客攻击。

Balancer收到白帽黑客披露的Synthetix生态代币等相关漏洞报告，目前用户资金安全:5月14日消息，Balancer Labs发推表示，今日某白帽黑客通过Web3漏洞赏金平台Immunefi披露Balancer相关漏洞，Balancer官方收到一个潜在可利用场景的通知，没有用户资金处于危险之中。

其中漏洞场景涉及double entry-point ERC20代币，包括但不限于Synthetix生态代币（SNX 和 sBTC 等）以及Balancer闪电贷。Synthetix团队正考虑在下周升级合约，以成功移除double entry-point，并允许代币返回金库，而无需 LP 的任何干预。此中等严重性错误报告将导致资金因从 V2 Vault 转出而被暂时冻结，没有看到这种漏洞导致实际盗窃的途径。[2022/5/14 3:16:03]

LP说：“这些抢钱的人能找到非常容易的方法来利用漏洞，然后突然间，数百万的美元就被盗走了。”

与黑客的竞赛开始了。LP的同事已经发现了黑客正在利用的漏洞，在他的帮助下，LP写了一系列智能合约，为的是先黑客一步利用该漏洞。

“好吧，我们救了你们一命，你们应该给我们点东西。”

由于区块链上行动公开，黑客事件很快愈演愈烈。LP和同事的白帽行动几经波折，被记录在区块链上，黑客也能注意到他们的活动。这时，其他投机的黑客看到了正在发生的事态，甚至也开始借机大赚一笔。但最终，LP和她的两位同事成功挽救数万美元，并帮助该项目修复漏洞，阻止了黑客的攻击。然而，据LP说，黑客仍然净赚大约800个ETH，截至目前价值约150万美元。

Immunefi：白帽黑客发现Polygon智能合约中PoS系统漏洞:2月21日消息，Immunefi 今日发布了一份关于Polygon共识机制的漏洞报告。报告显示，1月15日， 白帽Niv Yehezkel在 Polygon 在以太坊上的智能合约中的权益证明 (PoS) 系统中发现了一个漏洞，这将允许攻击者降低总权益，从而允许绕过共识，这可能会导致攻击者流失来自存款经理的所有资金，进行无限制的提款，DoS等等。

由于漏洞利用的复杂性，该漏洞的严重性级别为 75,000 美元。 攻击者要利用此漏洞，必须满足特定的市场条件。例如，验证者点必须是开放的，并且资本要求很高。使用 flashbots 直接支付给矿工留在验证者位置的金额也很高。此外，Polygon 网络的检查点时间每 30-45 分钟发生一次，攻击者需要长时间维护验证者位置，从而由??于时间要求增加了攻击成本。[2022/2/21 10:06:16]

“很多人都遭遇了损失，这不是最好的结局，但它也没有发展至不可挽回的状态。”LP说。

据LP说，整个操作持续了大概半个小时。

Multichain黑客事件也是一例。我们无法确定这些案例中的黑客是否从始至终都是头戴白帽，也许他们在盗窃之后改变了想法，毕竟这些资金放在他们的加密钱包里，举世瞩目，压力倍增。

Polygon向两名白帽黑客支付约346万美元赏金，PoS创始合约因漏洞损失约80万枚MATIC:12月29日，官方消息，Polygon公布关于最近网络升级的相关内容。Polygon表示，12月3日和4日，两名白帽黑客分别在漏洞赏金平台Immunefi报告Polygon PoS创世合约中的漏洞，Polygon确认该漏洞后决定升级主网，并在12月5日区块高度22156660完成90%的验证节点主网升级。但黑客还是在升级之前利用该漏洞窃取801,601 MATIC，基金会将承担损失。此外，Polygon向两名白帽黑客支付总计约346万美元的赏金。[2021/12/29 8:12:49]

也有像LP这样的“白帽黑客”，他们猛烈发起攻击，挽救资金，常常与邪恶的黑客赛跑，有时未经目标钱包或加密货币协议用户的同意。这些黑客始终持有的意图是将资金返还给其合法所有者。

这个词首次在这种语境下流行也许是在2016年，当时自称罗宾汉小组的志愿者程序员与从DAO中窃取数百万美元ETH的黑客展开竞赛，DAO是当时加密货币领域最有前景的组织之一。当时，该组织击败黑客，拯救了大约1500万美元的ETH，这一事件被广泛称为“白帽黑客事件”。第二年，这个团体，现在自称为白帽集团，在以太坊客户Parity被黑之后，挽救了2亿美元的加密货币。

88mph称白帽在其三个池中发现严重漏洞现已暂停，其他池不受影响:6月8日，DeFi固定利率生成协议88mph发推称，智能合约漏洞赏金平台Immunefi上的白帽Ashiq在其CRV:RENWBTC、CRV:STETH和yaLink池中发现了一个严重漏洞，目前团队暂停了这些受影响的池子。资金是安全的。其他池不受影响，将继续正常运行。88mph将在接下来的72个小时内发布完整报告供用户认领回资金。[2021/6/8 23:19:53]

近来，伴随着针对加密货币协议和用户的黑客攻击，这种做法变得更加频繁。根据区块链网络安全公司Immunefi的报告，就在今年前三个月，黑客和子已经盗取了大约12.3亿美元的加密货币。

Motherboard采访了包括LP在内的五个人，他们称有参与这种白帽活动的直接经验。

区块链安全公司Zellic的联合创始人StephenTong在一次在线聊天中告诉Motherboard，“在Web3中，白帽黑客被视为英雄而受到追捧。这绝对是一个双赢的局面。人们认可这一行为，因为如果我不做，那么还有谁会去做？至少我比一些黑帽子好。这就是我们的心态。”

白帽黑客在未经同意下窃取他人钱包或协议，这一行为在法律上是否正当尚不明晰。

声音 | 白帽黑客：币安热钱包私钥暂告安全 不排除有二次影响:今天下午2时许，某不愿透露姓名的“白帽黑客”就币安被盗事件表示：1、攻击手法来看一定是高级黑客的入侵手法，入侵已经进入系统内部，但最终没拿到私钥，也就是说目前来看热钱包的私钥是安全的。2、高级黑客懂得潜伏，并在合适时机发起特殊转账到攻击者控制的一批比特币地址，这笔转账没触发常规风控，但还是被及时发现，并被及时止损。3、由于是高级黑客入侵（也就是业内经常提的APT），币安除了查出被盗币的最核心问题之外，其他相关的都会立即进行全面的安全排查，包括用户API密钥、2FA代码的修改，但这次被黑的根本原因不是这个，不排除之后会因为这些受到二次影响。（链得得）[2019/5/8]

研究加密货币问题的律师PrestonByrne在一封电子邮件中告诉Motherboard：“白帽黑客虽然高贵，但若没有行动目标的同意，这一活动还是充满风险。披露漏洞是一回事，无论出于何种原因侵犯第三方资金所有者的权利是另一回事，如果目标人物因一些原因对黑客行为不满，黑客可能要承担民事和刑事责任。”

最终结果可能取决于未经同意下被白帽黑客取走加密货币的组织或个人的想法。

Preston说：“白帽/灰帽黑客的问题是，有的活动目标可能会感谢他们告知漏洞，但有的人则可能会大发雷霆，打电话给警察。当白帽黑客发现智能合约系统中的漏洞时，最好的办法是私下通知开发人员，然后就这样了——你不是超人，拯救世界不是你的责任。”

白帽黑客的做法涉及从用户甚至是黑客的钱包中获取加密货币，这可以与有争议的反击黑客概念相比较。在网络安全领域，反击黑客基本指的是数据泄露的受害者试图自行恢复被盗文件，收集黑客的行踪和身份信息——以进行黑客攻击。尽管这一行为充满争议，但对黑客的反击的确存在，但鉴于法律风险，是秘密进行的。

一些加密货币世界中的白帽活动参与者试图避免被起诉的风险。

EmilianoBonassi是一名区块链网络安全研究员，他也参与了几次白帽行动。在去年的一个案例中，加密货币投资平台PrimitiveFinance用户的钱包被暴露，任何一个会利用漏洞的人都能进行访问。

“我们能够拯救该协议用户的唯一方法是把他们钱包里的资金抽走，然后通知他们。所以这是你可能遇到的最糟糕的情况，因为你基本上要抽走用户的资金。”Bonassi在电话中告诉Motherboard。

Bonassi与Immunefi创始人MitchellAmador以及加密货币网络安全公司Dedaub的研究人员一同工作，都是本案的中间人。最重要的是，根据白帽黑客的事后调查，PrimitiveFinance公司的员工从一开始也参与了救援。

与LP不同的是，Bonassi和他的同事没有使用自己的钱包来保存资金，只是向协议开发者展示了如何进行白帽攻击。

“我们向他们演示如何执行，我们开发了执行脚本，做了模拟，然后和他们说，我们支持你，你执行吧。如果一切出错，我们会采取行动。”

一些区块链网络安全研究人员充分意识到风险存在——使用自己钱包，且未经钱包所有者或协议构建者的同意就对有漏洞的钱包进行攻击，这些行为是充满风险的。

一位网络安全研究人员在接受Motherboard采访时要求匿名，正是因为在拯救他人加密货币时使用钱包是有风险的，他说过去他在一些情况下这样做过。

“这挺让人担心的，所以也许我也不该抛头露面。现在整个行业都有点紧张，这也是为什么我不再积极参与这些活动了。”该研究人员在电话中告诉Motherboard。

另一些人则是完全不使用自己的钱包。

“我的个人原则是，我永远不会独自发送交易。我也绝对不会托管他人资金。Samczsun是在加密货币投资公司Paradigm工作的安全研究员，他在电话中告诉Motherboar，“我的原则是我提供给你所需的一切信息，让你尽快掌握情况，然后把决定留给你做。我自己不会介入并强行接管整件事，如果你想让我帮忙，我就会帮忙。如果你愿意自己处理这个问题，那我很乐意站到一边，让你来处理。”

“对我个人来说，如果要暂时地获得并处置九位数的资产，这样的事件我是不太愿意调查的。”Samczsun曾参与过几个白帽黑客活动，拯救了数百万的加密货币。“所以如果可以的话，我会完全避免这种情况。我不确定《好撒玛利亚人法》是否也适用于区块链，这一法律鼓励人们在紧急情况下帮助处于危险或困境的人，而不必担心如果他们无意中造成伤害或死亡而被起诉。”

Preston认为Samczsun的做法是正确的，因为《计算机欺诈和滥用法》会对造成损失的行为进行处罚，如从某人的钱包中拿走加密货币，即使这不是欺诈。

“如果你决定自己独自处理，那为了避免受到怀疑，你也绝对不应这样做。这是在玩火，记住，你有可能会引起检察官的注意。”Preston说。

“我们能够拯救该协议用户的唯一方法是将资金从他们的钱包中抽走。”

在Chainalysis上个月组织的一次会议上，纽约县地区检察官办公室的网络犯罪和身份盗窃局局长ElizabethRoper说，白帽黑客是法律上“真正的灰色地带”，它可能是检察官可能想要关注的领域。

Roper?说：“如果它最终拯救了平台上的每个用户和大量资金，而且做这件事的人立即公开了事件，也许我们不会使用资源来起诉它。但还是要重申，这需要根据具体案例讨论。”

被问到是否会担心遭来无妄之灾时，LP说通常她参与的加密货币项目规模较小，甚至不在美国境内，所以她做了风险评估，认为提供帮助也不会面临控诉风险。

LP说，“遭到控诉是不太可能的，但是我却非常可能挽救他人资金，确保他们不会完全破产，那对他们来说会是非常糟糕的日子。”

对白帽黑客来说，一个更可能的结果是他们为造成的“麻烦”获得奖励。Fantasm案件并不是LP和她在RugDoc的团队唯一的一次挽救行动。在那个案例中，他们并没有要求奖励。但在其他时候，他们有所要求。

“如果是一个大型、臭名昭著的项目，它们还有剩余资金，我们就会说。‘好吧，我们刚刚在这里救了你们一命，你们应该给我们一些东西。’”LP说。

Bonassi说，若官方没有漏洞赏金，通常的标准奖励是本会被盗资金的10%。但他过去也在没有任何补偿的情况下参与过白帽攻击，这是因为他想要帮助被涉及的加密货币项目，更是想要为整个生态系统献一份力。

白帽黑客行动对Bonassi来说不仅是为了阻止潜在的黑客，它也是一个人人都可参与的学习机会。

奖励越大，研究人员就越受到鼓舞，愿意去寻找和报告漏洞。

他说，“我们最初悬赏1万，然后是10万。现在我们有100万、1000万的漏洞赏金。可能在明年，我们将看到数亿、数十亿的奖金。因为Web3和其他行业不同，在这里黑客攻击在短短几秒内转瞬发生，却可获利无限。因此，我们需要推举大型激励措施，保证系统安全。"

标签：加密货币THEEFIGON加密货币市场分析tether币行情defi币有哪些GON价格

SHIB热门资讯