원래 제목: "Meet the Vigilantes Who Hack Millions in Crypto to Save It From Thieves》

원작자: Lorenzo Franceschi-Bicchierai

원문 편집: Guo Qianwen, Chain Catcher

원문 편집: Guo Qianwen, Chain Catcher

3월 9일 이른 아침, LP가 잠든 사이에 갑자기 텔레그램 전화를 받기 시작했다. 그녀에 따르면 이것은 결코 좋은 징조가 아닙니다. 버튼다운 파자마를 입은 그녀는 침실 커튼을 치고 담요에서 노트북을 꺼내 콘택트렌즈를 착용합니다. 다른 사람의 암호 화폐를 저장해야 할 때입니다. 먼저 해킹하십시오.

실리콘 밸리 로펌에서 근무했으며 현재 사이버 보안 회사인 RugDoc 및 Paladin Blockchain Security의 설립자인 박사 학위 엔지니어 LP는 개인 정보 보호를 위해 익명을 조건으로 말했습니다. 그녀는 암호 화폐가 "좋은 사람들로 가득 찬 지하실" 시나리오에 관한 것이 아니라는 것을 모두가 알기를 원합니다.

투자자들에 의해 수백만 달러의 유동성이 잠긴 Fantasm이라는 암호화폐 프로토콜의 투자자들에 대한 공격에 대해 전화 통화를 한 것은 그녀의 동료였습니다.

그녀가 술에 취한 후 노트북을 열고 두 명의 동료와 팀을 이루어 해커를 물리치고 가능한 한 많은 암호화폐를 저장하려고 했습니다. 블록체인의 비가역적 특성으로 인해 도난당한 자금이 영원히 손실되는 암호화폐의 세계에서 자금을 절약한다는 것은 도둑보다 먼저 해킹하는 것을 의미합니다.

LP는 "이러한 돈을 훔치는 사람들은 취약점을 악용하는 매우 쉬운 방법을 찾을 수 있으며 갑자기 수백만 달러가 도난당했습니다."라고 말했습니다.

해커와의 경쟁이 시작됩니다. LP의 동료들은 해커가 악용하고 있는 허점을 발견했고 그의 도움으로 LP는 해커보다 먼저 허점을 악용하기 위해 일련의 스마트 계약을 작성했습니다.

"글쎄, 우리는 당신의 생명을 구했습니다. 당신은 우리에게 뭔가를 제공해야합니다."

해킹은 블록체인에 대한 홍보로 인해 빠르게 강화되었습니다. LP와 동료들의 하얀 모자 행동은 우여곡절 끝에 블록체인에 기록되었고, 해커들도 그들의 활동을 알아차릴 수 있다. 이 시점에서 다른 기회주의적 해커들은 무슨 일이 일어나고 있는지 보고 기회를 잡기 시작했습니다. 그러나 결국 LP와 그녀의 두 동료는 수만 달러를 절약하고 프로젝트에서 버그를 수정하고 해커의 공격을 방지하는 데 도움을 줄 수 있었습니다. 그러나 LP에 따르면 해커는 현재 약 150만 달러에 해당하는 약 800 ETH를 챙겼다.

LP에 따르면 전체 작업은 약 30분 동안 지속되었습니다.

보조 제목

흰 모자 해커

흰모자 해커의 등장은 인터넷 발명의 시초로 거슬러 올라갈 수 있는데, 원래는 서양 영화의 "좋은 놈은 흰 모자를 쓰고 나쁜 놈은 검은 모자를 쓴다"는 설정에서 나왔다. 네트워크 보안의 세계에서 화이트햇 해커는 LP와 같이 정의로운 해커로 인식됩니다.

그러나 암호 화폐의 세계에서 흑과 백 사이의 경계는 그렇게 명확하지 않습니다.

일부 해커는 허점을 악용하여 자금을 훔친 다음 보상을 받으면 자금을 반환하겠다고 공개적으로 발표했습니다. 예를 들어, Poly Network의 기괴한 해킹에서 회사는 공개적으로 해커를 Mr. 이 사건의 해커가 전체적으로 흰색 모자인지 확신할 수 없습니다. 자금이 암호화된 지갑에 보관되어 있고 세계의 관심으로 인해 압력이 높아졌기 때문에 절도 후 마음을 바꿨을 수도 있습니다.

또한 LP와 같이 폭력적으로 공격을 시작하고 자금을 회수하며 종종 악의적인 해커와 경쟁하는 "화이트 햇 해커"가 있으며 때로는 대상 지갑이나 암호화폐 프로토콜 사용자의 동의 없이도 있습니다. 이러한 해커의 의도는 항상 적법한 소유자에게 자금을 반환하는 것입니다.

이 단어는 아마도 2016년에 스스로를 Robin Hood 팀이라고 부르는 자원 봉사 프로그래머가 The DAO에서 수백만 달러의 ETH를 훔친 해커와 경쟁했을 때, 당시 암호 화폐 공간에서 가장 유망한 조직 중 하나였습니다. 당시 그룹은 "하얀 모자 해킹"으로 널리 알려진 이벤트인 해커를 물리침으로써 약 1,500만 달러의 ETH를 절약했습니다. 이듬해 화이트 햇 그룹(White Hat Group)이라고 불리는 이 그룹은 이더리움 클라이언트 패리티(Parity)가 해킹당한 후 암호화폐로 2억 달러를 절약했다.

이러한 관행은 최근 암호 화폐 프로토콜 및 사용자를 대상으로 하는 해킹으로 인해 더욱 빈번해졌습니다. 블록체인 사이버 보안 회사인 Immunefi의 보고서에 따르면 해커와 사기꾼은 올해 첫 3개월 동안 약 12억 3천만 달러의 암호화폐를 훔쳤습니다.

마더보드는 LP를 포함해 5명을 인터뷰했는데, 이들은 이런 유형의 화이트 햇 활동에 참여한 직접적인 경험이 있다고 말했다.

블록체인 보안 회사인 Zellic의 공동 창업자인 Stephen Tong은 마더보드와의 온라인 채팅에서 "Web3에서는 화이트 햇 해커를 영웅으로 찾고 있습니다. 확실히 윈윈 상황입니다. 사람들은 이 행동을 승인합니다. 안 하고 누가 하겠어. 적어도 검은 모자보다는 내가 낫다. 그게 우리의 사고방식이야."

화이트 햇 해커가 동의 없이 다른 사람의 지갑이나 계약서를 훔치는 것이 법적으로 정당한지는 불분명합니다.

암호화폐 문제를 연구하는 변호사인 프레스턴 번(Preston Byrne)은 이메일을 통해 마더보드에 "화이트 햇 해킹은 숭고하지만 작업 대상의 동의가 없는 활동에는 위험이 따른다. 한 가지 이유로 제3자 펀드 소유자의 권리를 침해하는 것은 또 다른 것이며, 어떤 이유로 대상이 해킹에 대해 불만을 갖게 되면 해커는 민형사상 책임을 질 수 있습니다.”

최종 결과는 화이트 햇 해커가 동의 없이 암호 화폐를 가져간 조직 또는 개인의 생각에 따라 달라질 수 있습니다.

Preston은 "흰색 모자/회색 모자 해커의 문제는 일부 캠페인 대상이 취약성에 대해 알려준 것에 대해 감사할 수 있지만 다른 누군가는 발작을 일으켜 경찰에 신고할 수 있다는 것입니다."라고 말했습니다. 스마트 계약 시스템 때가 되면 가장 좋은 방법은 개발자에게 개인적으로 알리고 그대로 두는 것입니다. 당신은 초인이 아니며 세상을 구하는 것은 당신의 일이 아닙니다."

사용자 또는 해커의 지갑에서 암호화폐를 탈취하는 화이트 햇 해킹(white hat hacking)은 논란이 되고 있는 해킹 백(hacking back) 개념에 비유할 수 있습니다. 사이버 보안의 세계에서 카운터 해킹은 기본적으로 해킹을 위해 해커의 위치와 신원에 대한 정보를 수집하고 훔친 파일을 스스로 복구하려는 데이터 유출의 피해자를 말합니다. 이러한 움직임이 논란이 되기도 했지만 해커에 대한 반격은 존재했지만 법적 위험 때문에 비밀리에 이루어졌다.

cryptocurrency 세계의 일부 화이트 햇 행위자는 기소 위험을 피하려고 노력하고 있습니다.

Emiliano Bonassi는 블록체인 사이버 보안 연구원으로 여러 화이트 햇 작업에도 참여했습니다. 작년 한 사례에서는 암호화폐 투자 플랫폼인 Primitive Finance 사용자의 지갑이 노출되어 취약점을 악용할 수 있는 요령이 있는 사람이라면 누구나 액세스할 수 있었습니다.

"프로토콜 사용자를 구할 수 있는 유일한 방법은 지갑에서 자금을 빼돌려 알리는 것입니다. 기본적으로 사용자 자금을 빼돌리고 있기 때문에 최악의 시나리오입니다." Bonassi Tell Motherboard on the phone.

Bonassi는 Immunefi 설립자 Mitchell Amador 및 암호 화폐 사이버 보안 회사 Dedaub의 연구원과 함께 사건의 중개자로 일했습니다. 화이트 햇 해커의 사후 조사에 따르면 Primitive Finance 직원도 처음부터 구조 작업에 참여했습니다.

LP와 달리 Bonassi와 그의 동료는 자금을 보유하기 위해 자신의 지갑을 사용하지 않고 프로토콜 개발자에게 화이트 햇 공격을 수행하는 방법을 보여주기만 했습니다.

"우리는 그들에게 실행 방법을 보여주고, 실행 스크립트를 개발하고, 시뮬레이션을 하고, 그들에게 우리는 당신을 지원하고 당신은 실행하라고 말했습니다. 모든 것이 잘못되면 조치를 취할 것입니다."

일부 블록체인 네트워크 보안 연구원은 위험을 완전히 인식하고 있습니다. 지갑 소유자 또는 프로토콜 빌더의 동의 없이 자신의 지갑을 사용하고 취약한 지갑을 공격하는 것은 위험이 가득합니다.

다른 사람의 암호 화폐를 저장할 때 지갑을 사용할 위험이 있기 때문에 익명을 요구한 사이버 보안 연구원은 과거에 몇 번 그렇게 했다고 말했습니다.

연구원은 마더보드에 전화로 "좀 걱정스럽기 때문에 대중의 눈에 띄어서는 안 될 것 같다. 지금 업계 전체가 긴장하고 있다. 그래서 더 이상 이러한 활동에 적극적으로 참여하지 않는다"고 말했다.

다른 사람들은 지갑을 전혀 사용하지 않습니다.

"제 개인적인 원칙은 거래를 혼자 보내지 않는다는 것입니다. 또한 다른 사람의 자금을 에스크로하지도 않습니다. 암호화폐 투자 회사 Paradigm에서 근무하는 보안 연구원 Samczsun(가명)은 마더보드에 전화로 "나의 원칙은 필요한 모든 정보를 제공하고 가능한 한 빨리 상황을 파악한 다음 결정을 맡기는 것입니다. 내가 개입하여 모든 것을 강제로 인수하지는 않을 것입니다. 내가 도와주기를 원한다면 그렇게 할 것입니다. 당신이 이 일을 스스로 처리할 의향이 있다면, 기꺼이 한 걸음 물러나서 당신이 처리하게 놔두겠습니다. "

"개인적으로 아홉 자리 자산을 일시적으로 취득하고 처분하려는 경우 그러한 사건을 조사하는 것을 꺼릴 것입니다." Samczsun은 여러 화이트 햇 해킹 활동에 참여하여 수백만 달러의 암호화폐를 절약했습니다(Sushi Swap 사건의 경우 3억 5천만 달러). Lien Finance 사건의 경우 거의 1,000만 달러). "그래서 할 수만 있다면 나는 그것을 완전히 피할 것입니다. 비상 상황에서 위험에 처한 사람들을 돕도록 사람들을 격려하는 법인 선한 사마리아인 법이 블록체인에도 적용되는지 잘 모르겠습니다. 실수로 부상이나 사망을 초래합니다."

Preston은 컴퓨터 사기 및 남용에 관한 법률이 사기가 아니더라도 누군가의 지갑에서 암호 화폐를 가져가는 것과 같이 손실을 초래하는 행위를 처벌하기 때문에 Samczsun이 옳다고 생각합니다.

"혼자 가기로 결정했다면 의심을 피하기 위해 절대 해서는 안 됩니다. 그것은 불장난이며 검찰의 주의를 끌 위험이 있다는 점을 기억하십시오."라고 프레스턴은 말했습니다.

"우리가 프로토콜 사용자를 구할 수 있는 유일한 방법은 지갑에서 자금을 빨아들이는 것입니다."지난 달 Chainalysis가 주최한 컨퍼런스에서 뉴욕 카운티 지방 검사실 사이버 범죄 및 신원 도용국 국장 Elizabeth Roper는 다음과 같이 말했습니다.

화이트 햇 해킹은 합법적인 "진정한 회색 영역"이며 검사가 집중하기를 원하는 영역입니다.

Roper는 "플랫폼의 모든 사용자와 많은 돈을 절약하고 그것을 한 사람이 즉시 공개된다면 우리는 그것을 기소하기 위해 자원을 사용하지 않을 것입니다."라고 Roper는 말했습니다. 사례별로 이루어집니다. 사례 토론."

부당한 재난에 대해 걱정하느냐는 질문에 LP는 일반적으로 자신이 참여하는 암호화폐 프로젝트는 규모가 작고 미국에 위치하지도 않기 때문에 위험 평가를 수행했으며 도움을 제공하는 것이 직면하지 않을 것이라고 생각한다고 말했습니다. 기소의 위험.

LP는 "내가 소송을 당할 가능성은 매우 희박하지만 다른 사람들의 자금을 저축하고 그들이 완전히 파산하지 않도록 하는 것은 매우 가능하며 그러면 그들에게 매우 나쁜 날이 될 것"이라고 말했다.

화이트 햇 해커에게 더 가능성 있는 결과는 그들이 야기한 "문제"에 대해 보상을 받는 것입니다. Fantasm 사례는 LP와 RugDoc 팀의 유일한 구조 노력이 아닙니다. 그런 경우에는 보상을 요구하지 않았습니다. 그러나 다른 때에는 그들은 무언가를 요구합니다.

LP는 "크고 악명 높은 프로젝트인데 돈이 남았다면 '글쎄, 우리는 여기서 당신의 생명을 구했고 당신은 우리에게 무언가를 주어야 한다'고 말할 것"이라고 말했다.

공식적인 버그 바운티가 없다면 일반적인 표준 보상은 도난당한 자금의 10%라고 Bonassi는 말했습니다. 그러나 그는 또한 관련된 암호화폐 프로젝트를 돕고 싶었고 전체 생태계에 기여하기를 원했기 때문에 과거에 아무런 보상 없이 화이트햇 공격에 참여한 적이 있습니다.

Bonassi에게 흰색 모자 해킹은 잠재적인 해커를 막는 것일 뿐만 아니라 모두를 위한 학습 기회이기도 합니다.

보상이 클수록 버그를 찾고 보고하려는 연구원의 동기가 높아집니다."