原作者: Frank、Foresight News

2月14日の夜、Paradigmのセキュリティディレクターであるsamczsun氏は、ホワイトハットハッカーのセーフハーバープログラム「Security Alliance」の立ち上げを正式に発表し、これはすぐに暗号化の世界に波紋を巻き起こした。Uniswapなどの主要プロトコルは、次のような業界のセキュリティ機関と協力している。 SlowMist Technology、OpenZeppelin、Messari 創設者兼 CEO の Ryan Selkis などの著名人が交流し、支援を呼びかけました。

Web3 セキュリティの分野で最も権威のあるトップ ホワイト ハッカーである samczsun が立ち上げた、いわゆるホワイト ハッカー セーフハーバー プログラム「Security Alliance」とは一体何で、具体的にどのようなことが行われるのでしょうか? 暗号化に影響を与える可能性があります。業界と Web3 セキュリティ分野への影響は何ですか?

「セキュリティアライアンス」とは何ですか？

まず、言葉の意味ですが、セキュリティアライアンスの英語直訳は「セキュリティアライアンス」で、簡単に理解すると、ネットワークセキュリティに特化した公益同盟組織です。

Security Alliance は、SEAL 911 やウォーゲームなどの取り組みを通じて DeFi の安全性を維持するために、サイバーセキュリティの分野で最高のチームを編成しました。

samczsun が開示した情報によると、早ければ 2022 年 8 月にクロスチェーン相互運用プロトコル Nomad が攻撃されたとき (Foresight News は、Nomad 事件による損失が 1 億 9,000 万米ドルに達したと指摘しました)、彼は a16z 暗号のセキュリティ チームに協力しました。攻撃への参加 ハッカー識別分析。

その過程で、彼らは協力して Nomad プロジェクトが攻撃者から守るために資金を意図的に吸い上げた数人のホワイトハッカーから 3,880 万ドルという巨額の資金を回収しました。これはまた、Security Alliance の初期の組織プロトタイプと運営哲学を形成しました。 。

ホワイトハット ハッカーは多くの場合、最初に脆弱性の警告に気づいたり、警告を受け取ったりするため、実際には、これは samczsun、SlowMist、PeckShield などの有名なセキュリティ研究者/機関の毎日のツイート コンテンツです。

しかし問題は、より技術的に洗練され、ホワイトハット志向の開発者やセキュリティ研究者の多くが、ホワイトハットハッカー救済をめぐる法的曖昧さのため、支援できないことです。

仕事上の理由で許可されないか、他の要因による懸念があるかのどちらかです。ホワイトハットが行動を使って善意を示すことを許可する法的枠組みがあれば、より多くの人が参加できるようになります。, ノマド事件はその典型的な例です。

要約すると、samczsun はセキュリティ担当者が心配することなく、セキュリティ インシデントに迅速かつ適切に対応できる関連組織。そこで、1 年以上の努力の末、Security Alliance が誕生しました。「ホワイト ハット ハッカーがプロトコルをリアルタイムで保護することを妨げる障壁を取り除き、セキュリティ研究者に権限を与え、他のすべてが失敗した場合でもホワイト ハット ハッカーがセキュリティ アライアンスとして行動できるようにする」最後の防衛線。」

要するに、Security Alliance は、ホワイト ハット ハッカーに法的保護の枠組みを提供し、脆弱なシステムの所有者にできるだけ早く通知し、攻撃と防御の演習環境とサポートを提供することを目的としています。現在、Security AllianceはGitHub上で契約草案を公開し、2024年3月14日までの1か月間コミュニティの意見を募集している。

公式ウェブサイトによると、Security AllianceにはParadigm、Ethereum Foundation、a16z crypto、Vitalik Buterin、Filecoin Foundation、Coinbase、Dragonfly、Framework、Electric Capitalなどを含む50以上の寄付者やパートナーがおり、そのラインナップは一流だ。

主要3製品・サービス

現在、Security Alliance によってリストされている主要な製品/サービスは、Whitehat Safe Harbor協定、SEAL 911、および SEAL Wargames の 3 つです。

その中には、暗号化研究者の @lex_node と Delphi Labs がセーフ ハーバー プロトコルの開発に協力しており、今年はさらに多くの支援イニシアチブがリリースされる予定です。

ホワイトハットセーフハーバー協定: ホワイトハット運用基準

上に示したように、Security Alliance は、暗号化分野のさまざまな分野のトップ専門家を結集する中立的な公共福祉プラットフォームとして機能し、あらゆる専門分野で最高の人材を見つけるために暗号化エコシステム全体にアクセスできるネットワークをほぼ形成しています。計画。

これに基づいて、White Hat Safe Harbor Protocol は、アクティブな攻撃イベントに対処するために特別に設計された包括的なフレームワークであり、「White Hat セキュリティ運用仕様」として理解できます。このプロトコルは、アクティブな攻撃インシデント中に資産の回復を支援するホワイトハットハッカーに法的保護を提供できます。

つまり、アクティブな攻撃イベントが発生する前にプロトコルがセーフハーバープロトコルを採用している場合、ホワイトハットハッカーは、次のような潜在的な救助でどのように行動できるかを明確に理解できるという点で、バグ報奨金に似ています。

• どのような資産がプロトコルの範囲内にありますか (例: 特定のアドレスの ERC 20 トークン)?

• ホワイトハット救助が成功した場合の報酬は何になりますか (例: 救助された資金の 10%、または上限 100 万ドル)?

• 救出された資金はどこに返還されるべきですか (例: 特定の複数署名アドレス)?

これは、ホワイトハットハッカーが自らの活動範囲、行動規範、報酬基準を直観的に理解し、法的保護を得ることができることを意味するが、ホワイトハットがホワイトハットレスキューを実行することを決定した場合には、当然、契約に定められたプロセスに従わなければならない。 。

SEAL 911: 7 x 24 緊急ホットライン

「SEAL 911」の製品形態は、テレグラムロボットです。プロジェクト当事者とチームに直結する緊急ホットラインで、緊急時に誰でも特定のプロジェクトチームに連絡することができます。ユーザーが送信したメッセージは、対応するプロジェクト チームに自動的に転送されます。

想像してみてください。ある日、あなたが特定のプロトコルに対するオンチェーン攻撃の手がかりを最初に発見したとしたら。このような緊急事態では、時は金なりですが、誰に助けを求めるべきか、誰に指示を出すべきかを知るのは難しいかもしれません。開示のリマインダー、特にその方法を直ちに通知してください。できるだけ早く当局に通知してください。

SEAL 911 は、緊急のセキュリティに関するアドバイスが必要なユーザー、開発者、その他の人々が、重大な脆弱性の開示を支援したり、単に他の研究者と進捗状況を同期したりするために、この Telegram ボットを使用して、慎重に精査された専門家ボランティアとつながることができるチャネルです。

SEAL 911 チームはリクエストを優先順位付けし、直接支援を提供するか、適切な連絡先に転送します。 samczsun 氏によると、過去 6 か月間、SEAL 911 はいくつかのハッカー攻撃を阻止、ブロックし、修正するのに貢献しただけでなく、他のセキュリティ上の懸念を持つ多くの人々を支援してきました。

SEAL ウォーゲーム: 赤と青の攻撃的および防御的な環境を提供します

「SEALウォーゲーム」は正式には「レッドチーム演習」と位置付けられており、簡単に理解すると次のようになります。赤と青の攻撃的および防御的な環境を提供します。

多くの開発者はこれまでセキュリティ インシデントの激しい環境を経験したことがないため、攻撃者にとって 1 秒ごとに数百万ドルが失われる可能性があるため、集中力と生産性を維持することが困難になります。

そしてSEAL ウォーゲームは、極端なシナリオに備えるために必要なリソースとトレーニングをプロジェクトに提供できます。そして、次の 2 つのステージが含まれます。

• SEAL Chaos チームがプロジェクト開発者と協力して仮説的な攻撃シナリオを開発し、潜在的な脆弱性を文書化する机上演習。

• 攻撃をシミュレートするために、SEAL Chaos チームはテスト ネットワーク上の脆弱性を使用してプロジェクト開発者に挑戦し、さまざまなカテゴリの脆弱性を分類して修正します。

したがって、プロジェクトがハッキングされて緊急対応が必要な場合、または極端な状況に対処するために事前にレッドチーム訓練を実施する必要がある場合に、このツールを使用できます。

サムチサン この人は誰ですか？

samczsun は、Paradigm Research パートナー兼セキュリティ責任者として、Paradigm のポートフォリオ企業とセキュリティおよび関連トピックの研究に重点を置いています。

過去 2 年間、samczsun は繰り返し早期警告を発し、あらゆる規模の Web3 セキュリティ インシデントに積極的に関与しており、暗号化業界で最もよく知られているホワイト ハッカーであるはずです。

不完全な統計によると、過去数年間で、Samczsun は、SushiSwap や ENS などを含む、少なくとも数十のプロジェクトが直接警告を通じて関連する脆弱性を事前に発見し、数億ドルの損失を回避できるよう支援してきました。

タイムラインを整理すると、Web3 セキュリティに対する samczsun のオープンソース貢献が同じ流れにあることがわかります。

2022 年 9 月、samczsun は、イーサリアム アドレスのタグ付けおよび検索 Web サイトであるイーサリアム タグ データベースを開発して立ち上げ、イーサリアム タグ データベースを使用してイーサリアム アドレスにタグ付けすることができ、誰でもそれに貢献でき、アドレス、タグ (使用法) によって貢献できると述べました。ワイルドカード) 検索;

2023年8月には前述のテレグラムロボット「SEAL 911」が打ち上げられる予定。

まとめ

私たちはよく「Web3 の世界は技術的才能とハッカーの楽園だ」と言いますが、特に 2020 年の DeFi の夏以降、Web3 の世界のセキュリティ リスクは非対称の一方通行の狩りのようなものであり、ハッカーにとってそれは間違いなく罠です。プロジェクト開発者や一般ユーザーにとって、無限の無料キャッシュマシンは、ある時点で倒れる「ダモク​​レスの剣」に似ています。

そして、セキュリティ・アライアンスは、一連のコンビネーション・パンチを通じて、ハッキングなどのセキュリティインシデントの影響を受けた仮想通貨ユーザーが24時間年中無休の緊急ホットラインにアクセスできるようにするほか、盗まれた資金を救出する際にホワイトハットハッカーに法的保護を提供し、Web3開発者に組織システム攻撃に対する敵対的ネットワークをシミュレートするための無料演習を提供する。脆弱性を特定し、効果的な対応を準備します。

少なくとも現在の暗号化分野に関する限り、これは現時点ですでに最も完全な Web3 セキュリティ ソリューションですが、暗号化の暗い森を旅するすべての人をそれほど残酷にしないことができるかどうかはまだわかりません。