原題：「Meet the Vigilantes Who Hack Millions in Crypto to Save It From Thieves》

原作者: ロレンツォ フランチェスキ=ビッキエライ

原文編纂：Guo Qianwen、Chain Catcher

原文編纂：Guo Qianwen、Chain Catcher

3月9日の早朝、LPがまだ眠っている間に、突然テレグラムの電話を受け始めました。彼女によると、これは決して良い兆候ではありません。ボタンダウンのパジャマを着た彼女は、寝室のカーテンを引き、毛布からラップトップを取り出し、コンタクトレンズを装着します。他の人の暗号通貨を保存するときが来ました。まずそれらをハッキングしてください。

LP氏はシリコンバレーの法律事務所で働き、現在はサイバーセキュリティ企業RugDocとPaladin Blockchain Securityの創設者であり、博士号を取得したエンジニアであり、プライバシー保護のため匿名を条件に語った。彼女は、暗号通貨が単に「地下室にはいい人がいっぱいいる」というシナリオだけではないことをみんなに知ってもらいたいと考えています。

電話をかけてきたのは彼女の同僚で、投資家によって数百万ドルの流動性がロックされていたファンタズムと呼ばれる仮想通貨プロトコルにおける投資家に対する攻撃について彼女に告げた。

彼女は酔いが覚めるとラップトップを開き、2人の同僚と協力してハッカーを倒し、できるだけ多くの暗号通貨を節約しようと試みました。ブロックチェーンの不可逆的な性質により、盗まれた資金は通常永久に失われる暗号通貨の世界では、資金を節約するということは、盗まれる前にハッキングすることを意味します。

「こうした金の強奪者たちは脆弱性を悪用する非常に簡単な方法を見つけることができ、突然、数百万ドルが盗まれる」とLPは述べた。

ハッカーとの競争が始まります。 LP の同僚はハッカーが悪用している抜け穴を発見し、彼の協力を得て、LP はハッカーより先に抜け穴を悪用するための一連のスマート コントラクトを作成しました。

「まあ、私たちはあなたの命を救ったのですから、私たちに何かを与えてください。」

ブロックチェーン上の行為が公表されたことにより、ハッキングは急速に激化しました。 LP らのホワイトハット活動は紆余曲折を経てブロックチェーンに記録されており、ハッカーも彼らの活動に気づくことができます。この時点で、他の日和見主義的なハッカーが何が起こっているかに気づき、その機会を利用し始めました。しかし最終的に、LP と彼女の 2 人の同僚は数万ドルを節約し、プロジェクトのバグ修正とハッカーの攻撃の防止に貢献することができました。しかし、LPによると、ハッカーは依然として約800ETH、現時点で約150万ドル相当の利益を上げているという。

LP によると、作戦全体は約 30 分かかったという。

副題

ホワイトハットハッカー

「ホワイトハットハッカー」の登場はインターネットの発明の初期まで遡ることができ、もともとは西部劇の「善人は白い帽子をかぶり、悪人は黒い帽子をかぶる」という設定から生まれました。ネットワーク セキュリティの世界では、LP などのホワイト ハット ハッカーが正義のハッカーとして認識されています。

しかし、暗号通貨の世界では、白と黒の境界線はそれほど明確ではありません。

一部のハッカーは抜け穴を悪用して資金を盗み、報酬が得られれば資金を返すと公に発表しました。たとえば、Poly Network の奇妙なハッキングでは、同社はハッカーたちを「ミスター ホワイト ハット」と呼び、その後、盗まれた暗号通貨 (約 6 億ドル) を返してきたと繰り返し公に懇願しており、最近のマルチチェーン ハッキングもその一例です。これらの事件のハッカーが最初からホワイトハットだったのかどうかはわかりませんが、資金が暗号化されたウォレットに保管されており、世界の注目によってプレッシャーが高まったため、盗難後に気が変わったのかもしれません。

LPのような「ホワイトハットハッカー」も存在し、暴力的に攻撃を開始して資金を回収し、しばしば極悪なハッカーと競争し、時には標的のウォレットや暗号通貨プロトコルのユーザーの同意なしに行われます。これらのハッカーが常に抱いている意図は、資金を正当な所有者に返すことです。

この言葉がこの文脈で最初に注目されたのは、おそらく 2016 年で、ロビン フッド チームと名乗るボランティアのプログラマーたちが、当時仮想通貨分野で最も有望視されていた組織の 1 つである DAO から数百万ドルの ETH を盗んだハッカーたちと競争したときでした。当時、このグループはハッカーを倒すことで約 1,500 万ドルの ETH を節約しました。このイベントは「ホワイト ハット ハック」として広く知られていました。翌年、現在ホワイトハットグループと名乗っているこのグループは、イーサリアムクライアントのパリティがハッキングされた後、暗号通貨で2億ドルを節約した。

最近では、暗号通貨プロトコルとユーザーをターゲットにしたハッキン​​グにより、この行為がより頻繁に行われるようになりました。ブロックチェーンサイバーセキュリティ会社Immunefiの報告書によると、ハッカーや詐欺師は今年の最初の3か月だけで推定12億3000万ドルの仮想通貨を盗んだという。

Motherboard は LP を含む 5 人にインタビューし、彼らはこの種のホワイトハット活動に直接関与した経験があると述べた。

ブロックチェーンセキュリティ会社ゼリックの共同創設者スティーブン・トン氏はオンラインチャットでマザーボードに対し、「Web3ではホワイトハットハッカーが英雄として求められている。これは間違いなく双方にとって有利な状況だ。人々はこの行動を認めている。なぜなら私がそうすれば、 「私はやらない、他に誰がやるんだ？少なくとも私は一部のブラックハットよりは優れている。それが私たちのメンタリティだ。」

ホワイトハットハッカーが他人の財布や契約書を同意なしに盗むことが法的に正当化されるかどうかは不明である。

仮想通貨問題を研究している弁護士のプレストン・バーン氏はマザーボードに対し、電子メールで次のように語った。「ホワイトハットハッキングは高尚だが、作戦対象者の同意がなければ、その活動はリスクを伴う。それにもかかわらず、脆弱性を公開することは別のことである」 「ある理由で第三者のファンド所有者の権利を侵害することは別の理由であり、ターゲットが何らかの理由でハッキングに不満を抱いた場合、ハッカーは民事上および刑事上の責任を問われる可能性がある。」

最終的な結果は、仮想通貨がホワイトハットハッカーによって同意なしに盗まれた組織または個人の考えに依存する可能性があります。

「ホワイトハット/グレーハットハッカーの問題は、キャンペーン対象者の中には脆弱性を教えてくれたことに感謝する人もいるかもしれないが、他の誰かが発作を起こして警察に通報する可能性があることだ」とプレストン氏は語った。スマートコントラクトシステム その時が来たら、開発者に内々に知らせて、そのままにしておくのが最善策だ――あなたは超人ではないし、世界を救うのはあなたの仕事ではない。」

ユーザーまたはハッカーのウォレットから暗号通貨を奪うことを伴うホワイトハットハッキングの実践は、物議を醸しているハッキングバックの概念と比較できます。サイバーセキュリティの世界におけるカウンターハッキングとは、基本的に、データ侵害の被害者が、ハッキングのためにハッカーの居場所と身元に関する情報を収集し、盗まれたファイルを自力で回復しようとすることを指します。この動きは物議を醸し、ハッカーに対する反発もあったが、法的リスクを考慮して秘密裏に行われた。

仮想通貨業界の一部のホワイトハット関係者は、訴追のリスクを回避しようとしている。

エミリアーノ・ボナッシは、ブロックチェーンのサイバーセキュリティ研究者であり、いくつかのホワイトハット作戦にも携わってきました。昨年のある事件では、仮想通貨投資プラットフォーム Primitive Finance のユーザーのウォレットが公開され、脆弱性を悪用するコツを持った誰でもアクセスできるようになりました。

「このプロトコルのユーザーを救う唯一の方法は、ユーザーのウォレットから資金を吸い上げて通知することです。基本的にユーザーの資金を吸い上げていることになるので、これは最悪のシナリオです。」とボナッシ氏は電話でマザーボードに語った。

ボナッシ氏は、イムネフィの創設者ミッチェル・アマドール氏や仮想通貨サイバーセキュリティ会社デドーブの研究者らとともに事件の仲介者として働いた。それに加えて、ホワイトハッカーによる事後調査によると、プリミティブ・ファイナンスの従業員も最初から救出に関わっていたという。

LP とは異なり、ボナッシと彼の同僚は資金を保管するために自分のウォレットを使用せず、プロトコル開発者にホワイトハット攻撃の実行方法を示しただけでした。

「私たちは彼らに実行方法を示し、実行スクリプトを開発し、シミュレーションを行いました。そして私たちはあなたをサポートします、あなたは実行してくださいと彼らに言いました。すべてがうまくいかない場合は、私たちが行動を起こします。」

ブロックチェーンネットワークセキュリティ研究者の中には、そのリスクを十分に認識している人もいます。ウォレット所有者やプロトコル構築者の同意なしに自分のウォレットを使用したり、脆弱なウォレットを攻撃したりすることはリスクに満ちています。

他人の暗号通貨を保存する際にウォレットを使用するリスクがあるため、匿名を条件にマザーボードにインタビューしたあるサイバーセキュリティ研究者は、過去に数件そのようなことをしたことがあると語った。

「それはある意味憂慮すべきことであり、私は公の場に出るべきではないのかもしれません。現在、業界全体が一種の緊張状態にあります。そのため、私はもうこれらの活動に積極的に参加していないのです」と研究者は電話でマザーボードに語った。

財布をまったく使わない人もいます。

「私の個人的な原則は、決して単独でトランザクションを送信しないということです。また、他人の資金をエスクローすることも決してありません。仮想通貨投資会社パラダイムで働くセキュリティ研究者サムチュスン（仮名）は電話でマザーボードにこう語った。それは、私があなたに必要な情報をすべて提供し、できるだけ早く状況を把握してもらい、その後の判断はあなたに任せるということです。私は介入して、すべてを自分で強制的に引き継ぐつもりはありません。助けてほしいなら、そうします。あなたがこの問題を自分で処理する気があるのであれば、私は喜んで脇に下がって、あなたに処理させたいと思います。 」

「個人的には、9桁の資産を一時的に取得して処分したいのであれば、そのような事件を捜査することには消極的だ。」 サムチュスンはいくつかのホワイトハットハッキング活動に参加し、数百万ドルの暗号通貨を節約してきた（スシ・スワップ事件では3億5000万ドル）リアン・ファイナンス事件では1,000万ドル近く）。 「だから、できることなら、私はそれを完全に避けたいと思います。緊急事態で危険や困難に陥っている人々を助けることを奨励する法律である善きサマリア人法が、ブロックチェーンにも適用されるかどうかはわかりませんが、もしそうなった場合に訴訟されることを恐れることはありません」不注意で傷害や死亡事故を引き起こす可能性があります。」

プレストン氏は、サムチュスン氏の主張が正しいと考えている。なぜなら、コンピュータ詐欺および悪用法は、詐欺的でなくても、誰かのウォレットから仮想通貨を抜き取るなど、損失を引き起こす行為を罰するからだ。

プレストン氏は「もし単独で行動することに決めた場合、疑惑を避けるために絶対にやるべきではない。これは火遊びであり、検察の注目を集める危険性があることを覚えておいてほしい」と述べた。

「プロトコルのユーザーを救う唯一の方法は、ユーザーの財布から資金を吸い出すことです。」先月チェイナリシスが主催したカンファレンスで、ニューヨーク郡地方検事局サイバー犯罪・個人情報盗難局長エリザベス・ローパー氏はこう語った。

ホワイトハットハッキングは法的な「真のグレーゾーン」であり、検察が重点を置きたいと考えられる分野だ。

「もしそれが最終的にプラットフォーム上のすべてのユーザーと多額のお金を節約し、それを行った人物がすぐに公表されれば、おそらく私たちはそれを起訴するためにリソースを使用しないでしょう」とローパー氏は言いました。ケースバイケースで行われます。ケースディスカッション。」

不当な災害が心配されるのではないかとの質問に対し、LP 氏は、通常、彼女が参加している仮想通貨プロジェクトは規模が小さく、米国内にさえないため、リスク評価を行っており、支援を提供することで直面することはないと信じていると述べた。訴追のリスク。

LPは「私が訴訟される可能性は非常に低いが、他の人の資金を貯蓄して彼らが完全に破産しないようにする可能性は非常に高い。そうすれば彼らにとって非常に悪い日になるだろう」と語った。

ホワイトハットハッカーにとってより可能性の高い結果は、彼らが引き起こした「トラブル」に対して報酬を得るということです。 LP と RugDoc のチームによる救出活動はファンタズム事件だけではありません。その場合、彼らは報酬を求めませんでした。しかし、時には何かを要求されることもあります。

「もしそれが大規模で悪名高いプロジェクトで、資金が余っていれば、我々はこう言うだろう、『我々はここで君の命を救っただけなんだ、君は我々に何かをしてくれるべきだ』」とLP氏は語った。

公式のバグ報奨金がなかった場合、通常の標準的な報奨金は盗まれたであろう資金の 10% になるだろうとボナッシ氏は述べた。しかし、彼は過去に何の補償も受けずにホワイトハット攻撃に参加したこともあった。その理由は、関与する暗号通貨プロジェクトを支援したかったためであり、エコシステム全体に貢献したかったからだ。

ボナッシにとって、ホワイトハット ハッキングはハッカー志望者を阻止するだけでなく、すべての人にとって学習の機会でもあります。

報酬が大きいほど、研究者はバグを見つけて報告する意欲が高まります。"