火星链 火星链
Ctrl+D收藏火星链
首页 > 瑞波币 > 正文

加密货币:Web3的白帽黑客所面临的困境

作者:

时间:1900/1/1 0:00:00

3月9日凌晨,还在睡觉的LP接到Telegram上的电话。在她看来,这可不是什么好兆头。她从毯子下面拿起笔记本电脑,戴上隐形眼镜。是时候拯救别人的加密货币了——先黑掉它们。

LP是一名拥有博士学位的工程师,曾在硅谷一家律师事务所工作,他也是网络安全公司RugDoc和Paladin区块链Security的创始人。

据LP称,打电话的人是她的一位同事,他告诉她,有人正在入侵一个名为Fantasm的加密货币协议的投资者,当时这个协议有数百万美元的流动资金被投资者锁定了。

她说,当她清醒到可以打开笔记本电脑时,她就开始和两名同事合作,尽可能多地拯救加密货币、试图打败黑客并减少损失。在加密货币的世界中,由于区块链的不可逆转性质,被盗资金通常会永远消失,像这样拯救资金意味着要在小偷之前进行黑客攻击。

LP说:“一个剥削者发现有一个非常、非常简单的方法来利用这个东西。”“突然之间,数百万美元被抽走了。”

与黑客的竞赛开始了。LP说,在一名发现了黑客正在利用的漏洞的同事的帮助下,她编写了一系列智能合约,旨在比黑客更快地利用这个漏洞。

因为区块链上的行为是公开的,黑客事件可能会很快变得疯狂。LP和她的同事们利用这一漏洞进行了一些尝试和错误,这被记录在区块链上,所以黑客能够注意到他们的活动。这时,甚至还有其他投机取巧的黑客看到了正在发生的事情,也开始抽走资金。但LP和她的两个同事还是能够挽救数万美元,并帮助该项目修复漏洞,阻止黑客攻击。然而据LP说,黑客仍然净赚了约800ETH,价值约150万美元。

Web3开发平台Thirdweb已收购加密支付处理公司Paper:7月20日消息,Web3开发平台Thirdweb已收购加密支付处理公司Paper,具体金额未披露,将Web3钱包和结算解决方案添加到Thirdweb平台上,让开发者和用户更容易使用Web3。[2023/7/20 11:05:59]

LP说:“很多人赔了钱,这不是最幸福的结局。但情况并没有想象中那么糟糕。”

据LP说,整个行动大约花了半个小时。

“白帽”这个词和互联网一样古老,它最初来自西部电影,好人戴白帽,坏人戴黑帽。在网络安全领域,众所周知,“白帽子”被普遍认为是指像LP这样具有善意的黑客。

然而,在加密货币的世界里,颜色往往指向流血。

有些黑客利用漏洞偷钱,然后公开宣布实际上只要他们得到奖励,他们就会把钱还回去。PolyNetwork遭黑客攻击的离奇事件中就发生了这种情况。在PolyNetwork多次公开恳求他们,称他们为白帽先生(Mr.WhiteHat)之后,黑客归还了被盗的约6亿美元的加密货币。此外还有最近对Multichain的黑客攻击。在这些案件中,尚不清楚黑客是一直以来都是真正的白帽子,还是他们在偷了钱后,因为这些钱放在他们的加密货币钱包里被全世界注视着而感到压力,所以改变了主意。

报告:亚洲游戏玩家占据80%的Web3游戏市场:金色财经报道,根据DappRadar与日本加密货币公司Pacific Meta联合进行的一项研究,预计亚洲游戏玩家将占据Web3游戏市场的绝大部分。该研究发现,亚洲已经拥有17亿玩家,占全球游戏人口的55%,并且可能占所有Web3游戏玩家的80%。

报告还显示,总计1000名受访者中有40%的人了解区块链游戏;在了解此类游戏的人中,近57%的人表示Web3游戏“看起来很有趣”,而只有大约10%的人表示它们看起来很无聊。[2023/4/14 14:02:25]

还有一些像LP这样的“白帽黑客”,他们突然袭击并拯救资金,往往与恶意黑客竞赛,有时甚至没有得到钱包被攻击的用户或被黑的加密协议的同意。这些黑客始终保持着将资金返还给合法所有者的意图。

也许这个词第一次在这种情况下流行是在2016年,当时自称为RobinHoodGroup的志愿者程序员与从去中心化自治组织(DAO)窃取数百万美元ETH的黑客进行了竞赛。在此事件中,该组织反击了黑客并拯救了大约1500万美元的ETH。第二年,在以太坊客户端Parity遭到黑客攻击后,自称白帽集团(WhiteHatgroup)的同一个组织拯救了2亿美元的加密货币。

最近,伴随着针对加密货币协议和用户的黑客攻击,这种做法变得相对更频繁。区块链网络安全公司Immunefi的一份报告显示,仅今年前三个月,黑客和子就窃取了约12.3亿美元的加密货币。

福布斯:Game Space加速Web2游戏公司进入 Web3,帮助粉丝通过 NFT 在娱乐领域创收:9月26日消息,福布斯就粉丝如何通过 NFT 在娱乐领域创收进行了刊文报道。文中提到,迄今为止世界上一些最大的娱乐平台和特许经营权拥有者都在利用 NFT 和元宇宙。对于大多 Web2 企业来说,换到到Web3需要对自身基础设施进行大调整,而Game Space提供了一种更快速、更低成本采用 NFT 和元宇宙技术,进入Web3的解决方案。

福布斯称,许多公司都在不断尝试如何转型进入Web3,利用NFT可能会让他们在未来几年处于娱乐行业的前沿。但并非每个Web2企业都有专业能力或预算去做,Game Space提供的技术可帮助当前的Web2游戏公司不到一周的时间内切换到Web3,即刻拥有 NFT 功能、创建交易市场并部署多链功能,而无需从头开始构建。

?[2022/9/26 22:30:06]

Motherboard采访了包括LP在内的五个人,他们说他们有参与这种白帽活动的直接经验。

区块链安全公司Zellic的联合创始人StephenTong在一次在线聊天中告诉Motherboard:“在Web3中,白帽子确实被视为英雄。这绝对是一个双赢的局面。”“这是可以被接受的,因为如果我不做,那还有谁来做呢?”我总比黑帽子强。”

雅达利推出Web3生态计划Atari X,并将发行新Token:5月25日消息,知名游戏公司在其社交网站宣布推出 Web3 生态计划 Atari X,并引入新的合作伙伴 NiftyLabs。公告表示,该计划将推动一个雅达利的 Web3 区块链生态系统,该生态系统将游戏、公用事业和社区交织在一起。

此外,雅达利还将基于该生态系统发行新 Token,并定义新品牌 Token 的效用、治理和 Token 经济学。NiftyLabs 将主要负责该 Token 项目开发。[2022/5/25 3:39:37]

从法律上讲,目前还不清楚在未经他人同意的情况下,对他人的钱包或协议进行白帽活动是否合法。

专门研究加密货币相关问题的律师PrestonByrne在一封电子邮件中告诉Motherboard:“白帽黑客行为虽然高尚,但在没有得到目标明确同意的情况下,在加密货币领域还是充满了风险。”“披露漏洞是一回事;假设所有者对第三方资金的权利,无论出于何种原因都是另一回事,如果目标对黑客行为不满,无论出于何种原因,这都可能使黑客承担民事和刑事责任。”

Preston说:“白帽/灰帽黑客的问题是,当一个目标(相当正确地)对漏洞的通知心存感激时,另一个目标可能会破坏他们的堆栈,转而报警。”“当白帽发现智能合约系统中的漏洞时,最好的方法是私下通知开发人员,然后撒手不管。你不是超人,拯救世界不是你的问题。”

Web3游戏和电竞平台Joystick完成800万美元种子轮融资:金色财经报道,据Venturebeat消息,“海外版抖音”Tik Tok网红Michael Le联合创办的Web3游戏和电竞平台Joystick宣布已经完成了一笔800万美元的种子轮融资,但投资方信息暂未披露,目前该公司还在募集一笔高达1.1亿美元的A轮融资。Joystick希望将用户打造成区块链世界中的创业者、电子竞技专业人士或内容创作者,用户只需支付固定的服务费用,而在平台上创造的全部收入均归自己所有。据悉,该公司计划在以太坊上推出基于ERC-20标准的JOY Token,有者将获得奖励分配、游戏资产折扣和优先访问权等福利。[2022/5/21 3:32:21]

当涉及从用户钱包甚至黑客钱包中获取加密货币时,白帽黑客的做法可以与有争议的黑客攻击概念相提并论。在网络安全领域,当数据泄露的受害者试图自行恢复被盗文件并收集有关黑客行踪和身份的信息时,就会发生黑客回击的情况。尽管备受争议,但鉴于法律风险,黑客反击确实发生了,尽管是秘密进行的。

一些参与加密货币世界“白帽活动”的人试图避免被起诉的风险。

EmilianoBonassi是区块链网络安全研究员,也曾参与过几次白帽行动。在去年的一个案例中,加密投资平台PrimitiveFinance用户的钱包被暴露给了任何知道如何利用漏洞的人。

Bonassi在电话中告诉Motherboard:“我们拯救该协议用户的唯一方法是从他们的钱包中提取资金,然后通知他们。所以这是你可能会遇到的最糟糕的情况,因为你基本上不得不抽走用户的资金。”

在这件事例中,Bonassi与Immunefi创始人MitchellAmador以及加密货币网络安全公司Dedaub的研究人员进行了合作。根据白帽黑客的事后分析,PrimitiveFinance的人员从一开始就参与了救援是至关重要的。

与LP不同,Bonassi他们没有使用自己的钱包来拯救资金,只是向协议开发人员展示了如何自己进行白帽黑客行动。

Bonassi说:“我们向他们演示了如何执行、制定了执行的脚本、进行了模拟,然后对他们说:‘我们来支持你们,你们执行命令,如果出了问题,我们将采取行动。’”

一些区块链网络安全研究人员很清楚使用他们自己的钱包、以及在未经使用易受攻击钱包的用户或构建易受攻击协议的开发人员同意的情况下进行黑客攻击的风险。

一名网络安全研究人员之所以在接受Motherboard采访时要求匿名,这正是因为在拯救其他人的加密货币时使用人们的钱包存在风险,他说他过去曾在某些情况下这么做。

还有一些人干脆不用自己的钱包。

在加密货币投资公司Paradigm工作的匿名安全研究员Samczsun在电话中告诉Motherboard:“作为一项个人政策,我从来不会自己发送交易。我当然不会把资金交给自己保管。”“我的政策是:‘我会告诉你你需要知道的一切,让你了解最新情况。然后我会让你做决定。他说,我不认为自己是那种会介入并强行控制局面的人。如果你想让我帮忙,我会帮忙的。如果你想自己处理这件事,我很乐意站在一边,让你来处理。”

曾在一些白帽黑客活动中拯救了数百万美元加密货币的Samczsun说“对我个人来说,我并不想知道暂时获得九位数的资产然后处置它们会产生什么影响。因此,如果可能的话,我会完全避免这样做。我不确定《见义勇为法》是否会延伸到区块链。”

根据Preston的说法,《计算机欺诈和滥用法案》(CFAA)可以惩罚那些从某人的钱包中拿走加密货币等造成损失的行为,所以Samczsun的做法是正确的。

Preston说:“为了避免怀疑,你绝对不应该决定自己动手解决问题,你是在玩火。要记住,你有可能引起检察官的注意。”

在Chainalysis上个月组织的一次会议上,纽约县地区检察官办公室的网络犯罪和身份盗窃局局长ElizabethRoper表示,“白帽”是法律的“一个真正的灰色地带”,它可能是检察官们想要研究的东西。

Roper说:“如果它最终拯救了平台上的每个人、每个用户和一大笔钱,而做这件事的人似乎立即披露了它,也许我们不会使用我们的资源来起诉那个人,但这同样取决于具体的案件。”

当被问及她是否担心不必要的后果时,LP表现得很平静。她解释说,对她来说,风险收益计算是基于这样一个事实:通常涉及的加密货币项目规模相对较小,甚至可能不在美国,而且如果她帮助他们,对方可能不会提出指控。

LP说:“我被起诉的可能性很小,但我可以挽救其中一些资金,确保某人不会彻底破产,度过非常糟糕的一周、一个月、一年的可能性很大”

对于白帽来说,一个更有可能的结果是因为他们会因面对的麻烦而得到奖励。Fantasm案件并不是LP和她的RugDoc团队唯一一次拯救资金。在这个案例中,他们没有要求获得奖励。而其他时候,他们有要求。

LP说:“如果这是一个声名狼藉的大型项目,而且资金还有剩余,我们会说:‘好了,伙计们,我们刚刚救了你们,你们应该给我们一些东西。

Bonassi说,如果没有官方的漏洞赏金,通常标准的赏金是可能被盗金额的10%。但他过去也曾在没有任何补偿的情况下实施了白帽黑客攻击并报告了漏洞。这不仅是出于帮助相关加密货币项目,也是出于帮助整个生态系统的意愿。除了阻止潜在的黑客攻击,Bonassi还喜欢把白帽黑客视为每个相关人员的学习机会。

奖励越大,研究人员就越有可能有动力去寻找漏洞,并报告它们。

Bonassi说:“我们一开始的漏洞赏金是1万,然后是10万。现在悬赏100万到1000万。可能在明年,我们将看到数亿美元。”“因为Web3和其他行业的不同之处在于,黑客攻击发生的几秒钟内你就可以获得无限的金钱。因此,我们需要大力推行激励措施以确保其安全。”

转自公号:老雅痞

信息来源自Vice,略有修改,作者LorenzoFranceschi-Bicchierai

标签:WEB加密货币WEB3区块链coinweb交易所合法吗加密货币一览表web3币圈区块链技术通俗讲解举例

瑞波币热门资讯
加密货币:Coinlist:从代币分发模型演变历史看如何建设加密社区

建立加密网络很难。一份协议要想获得成功,它需要验证器运行节点以保护网络;代币持有者要感受到有权参与治理;需要激励DAO成员为协议的发展做出贡献;开发人员需要工具在协议之上构建;还可以列举更多.

1900/1/1 0:00:00
TEP:StepN到底是不是庞氏?

如何判断一个项目是不是庞氏,关键在于它是否具有正向的外部性。正如物理学的能量守恒定律一样,如果一个系统,它没有正向的外部性,那必然是一个庞氏.

1900/1/1 0:00:00
TOK:天猫、京东、小红书:想靠数字藏品脱困

前几天雷报整理了国内几大视频平台的数字藏品,几大平台要么借数字藏品宣传自家IP或自身“个性”,要么意在弘扬传统文化,抑或与活动、业务等进行各种“绑定”,来促活、拉新用户,玩法多样.

1900/1/1 0:00:00
TAL:4 年募资 10 亿美元 揭秘加密基金蜻蜓资本的投资逻辑

据区块链日报记者不完全统计,截至目前,DragonflyCapital已投资了近80家公司,且今年以来投资节奏明显加快,截至目前今年已投了28个项目.

1900/1/1 0:00:00
CRYP:佳士得、苏富比等顶级拍卖行纷纷入局NFT拍卖 这会是门好生意吗?

2021年3月11日,一副名为《每一天:前5000天》的NFT数字艺术品在英国拍卖行佳士得,以6935万美元成交,约合人民币4.5亿元.

1900/1/1 0:00:00
以太坊:欧盟金融监管机构:加密交易所应因违规而失去牌照

金色财经报道,欧盟金融监管机构表示,如果发现加密货币交易所严重违反了反规则,则应吊销其牌照.

1900/1/1 0:00:00