원저자: Frank, Foresight News
2월 14일 저녁, Paradigm 보안 책임자 samczsun은 암호화 세계에 빠르게 파장을 불러일으킨 화이트 해커 세이프 하버 프로그램 Security Alliance의 출시를 공식 발표했습니다. Uniswap과 같은 수석 프로토콜은 다음과 같은 업계 보안 기관과 협력했습니다. SlowMist Technology, OpenZeppelin 및 Messari 창립자이자 CEO인 Ryan Selkis와 같은 유명 인사들이 상호 작용하여 지원을 요청했습니다.
Web3 보안 분야의 최고 권위를 자랑하는 화이트 해커인 samczsun이 출시한 소위 화이트 해커 세이프 하버 프로그램 Security Alliance는 정확히 무엇이며 구체적인 작업은 무엇입니까? 암호화에 영향을 미칠 수 있습니다. 업계와 Web3 보안 분야에 미치는 영향은 무엇입니까?
안보동맹이란?
우선, 그 단어는 그 이름에서 알 수 있듯이 Security Alliance의 영어 번역은 Security Alliance입니다. 간단히 이해하면 네트워크 보안에 전념하는 공공 복지 동맹 조직이라는 것입니다.
Security Alliance는 SEAL 911 및 Wargames와 같은 계획을 통해 DeFi를 안전하게 유지하기 위해 최고의 사이버 보안 팀을 구성했습니다.
samczsun이 공개한 정보에 따르면, 빠르면 2022년 8월 크로스체인 상호 운용성 프로토콜인 Nomad가 공격을 받았을 때(Foresight News에서는 Nomad 사건의 손실액이 미화 1억 9천만 달러에 달했다고 밝혔습니다) 그는 a16z crypto의 보안 팀과 협력했습니다. 공격에 참여하기 위해 해커 식별 분석.
그 과정에서 그들은 공격자로부터 자금을 보호하기 위해 고의적으로 자금을 빼돌린 몇몇 화이트 해커로부터 Nomad 프로젝트가 무려 3,880만 달러에 달하는 자금을 회수할 수 있도록 협력했으며, 이는 또한 Security Alliance의 최초의 조직 프로토타입 및 운영 철학을 형성했습니다. .
화이트 햇 해커는 취약성 경고를 가장 먼저 알아채거나 수신하는 경우가 많기 때문에 이는 실제로 samczsun, SlowMist 및 PeckShield와 같은 유명 보안 연구원/기관의 일일 트윗 콘텐츠입니다.
그러나 문제는 기술적으로 정교하고 화이트 해커 구조를 둘러싼 법적 모호성 때문에 더 많은 기술적으로 정교하고 화이트 해커 정신을 갖춘 개발자와 보안 연구원들이 도움을 줄 수 없다는 것입니다.
업무상의 이유로 허용되지 않거나, 다른 요인이 우려되는 경우가 있습니다.화이트 해커들이 자신의 선의를 표현하는 행동을 할 수 있도록 허용하는 법적 틀이 있다면 더 많은 사람들이 참여할 수 있을 것입니다., 노마드 사건이 대표적인 예이다.
요약하자면, samczsun은 다음을 구축하기로 결정했습니다.보안인력이 걱정 없이 보안사고에 보다 빠르고 효과적으로 대응할 수 있도록 하는 관련기관,그래서 1년 이상의 노력 끝에 Security Alliance가 탄생했습니다. 화이트 햇 해커가 실시간으로 우리 프로토콜을 보호하는 것을 방해할 수 있는 장벽을 제거하고 보안 연구원에게 권한을 부여하여 다른 모든 방법이 실패할 경우 화이트 햇 해커가 최후의 방어선.
즉,Security Alliance는 화이트 해커에 대한 법적 보호 프레임워크를 제공하고, 취약한 시스템 소유자에게 가능한 한 빨리 알리고, 공격 및 방어 훈련 환경과 지원을 제공하는 것을 목표로 합니다.현재 Security Alliance는 GitHub에 계약 초안을 공개했으며 2024년 3월 14일까지 한 달 동안 커뮤니티 의견을 구할 수 있도록 열려 있습니다.
공식 웹사이트에 따르면 Security Alliance에는 Paradigm, Ethereum Foundation, a16z crypto, Vitalik Buterin, Filecoin Foundation, Coinbase, Dragonfly, Framework, Electric Capital 등을 포함하여 50개 이상의 기부자와 파트너가 있습니다. 라인업은 최고 수준입니다.
세 가지 주요 제품/서비스
현재 Security Alliance에 등록된 주요 제품/서비스는 Whitehat Safe Harbor Agreement, SEAL 911 및 SEAL Wargames의 세 가지입니다.
그중 암호화 연구원 @lex_node와 Delphi Labs는 세이프 하버 프로토콜 개발을 도왔으며 올해에는 더 많은 지원 이니셔티브가 출시될 예정입니다.
White Hat 세이프 하버 계약: White Hat 운영 표준
위에서 볼 수 있듯이 Security Alliance는 암호화 분야의 다양한 트랙의 최고 전문가들을 모아 거의 모든 전문 분야에서 최고의 인재를 찾을 수 있도록 전체 암호화 생태계에 액세스할 수 있는 네트워크를 형성하는 중립적인 공공 복지 플랫폼 역할을 합니다. 계획.
이를 바탕으로 White Hat Safe Harbor Protocol은 활성 공격 이벤트를 처리하기 위해 특별히 설계된 포괄적인 프레임워크로서 White Hat 보안 운영 사양으로 이해될 수 있습니다.프로토콜은 활성 공격 사고 중에 자산 복구를 돕는 화이트 해커에게 법적 보호를 제공할 수 있습니다.
즉, 활성 공격 이벤트가 발생하기 전에 프로토콜이 세이프 하버 프로토콜을 채택하는 경우 화이트 햇 해커는 다음과 같이 잠재적인 구조에서 어떻게 행동할 수 있는지 명확하게 이해하게 된다는 점에서 버그 포상금과 유사합니다.
프로토콜 범위 내에 어떤 자산이 있습니까(예: 특정 주소의 ERC 20 토큰)?
성공적인 화이트햇 구출에 대한 보상은 무엇입니까(예: 구출된 자금의 10% 또는 한도 100만 달러)?
구출된 자금은 어디에 반환되어야 합니까(예: 특정 다중 서명 주소)?
이는 화이트햇 해커가 자신의 운영 경계, 행동강령, 보상 기준 등을 직관적으로 이해하고 법적 보호를 받을 수 있음을 의미한다. .
SEAL 911: 7 × 24 비상 핫라인
SEAL 911의 제품형태는 텔레그램 로봇으로 간단히 말하면프로젝트 당사자 및 팀과 직접 연결되는 비상 핫라인으로, 긴급 상황 발생 시 누구나 특정 프로젝트 팀에 연락할 수 있습니다.사용자가 보내는 모든 메시지는 해당 프로젝트 팀에 자동으로 전달됩니다.
어느 날 특정 프로토콜에 대한 온체인 공격의 단서를 가장 먼저 발견했다고 상상해 보십시오. 이러한 긴급 상황에서는 시간이 돈이지만 누구에게 도움을 요청하거나 문제를 제기해야 할지 아는 것이 어려울 수 있습니다. 공개 알림을 즉시 제공하고, 특히 그렇게 하는 방법을 알려줍니다. 가능한 한 빨리 공무원에게 알립니다.
SEAL 911은 긴급 보안 조언이 필요한 사용자, 개발자 및 기타 사람들이 중요한 취약점을 공개하는 데 도움을 주거나 단순히 다른 연구자들과 진행 상황을 동기화할 수 있는 채널로 이 Telegram 봇을 사용하여 신중하게 심사된 전문 자원 봉사자들과 연결할 수 있습니다.
SEAL 911 팀은 요청을 분류하고 직접 지원을 제공하거나 올바른 연락 지점으로 연결합니다. samczsun에 따르면 지난 6개월 동안 SEAL 911은 여러 해커 공격을 중단, 차단, 수정하는 데 도움을 주었을 뿐만 아니라 기타 보안 문제를 겪고 있는 많은 사람들을 지원했습니다.
SEAL Wargames: 빨간색과 파란색의 공격 및 방어 환경을 제공합니다.
SEAL Wargames는 공식적으로 레드팀 훈련으로 자리잡고 있으며, 이는 간단히 말해서 다음과 같이 이해될 수 있습니다.빨간색과 파란색의 공격 및 방어 환경을 제공합니다.
많은 개발자가 이전에 보안 사고라는 고강도 환경을 경험해 본 적이 없기 때문에 집중력과 생산성을 유지하기가 어렵습니다. 매 순간이 공격자에게 수백만 달러의 손실을 의미할 수 있기 때문입니다.
그리고SEAL Wargames는 극단적인 시나리오에 대비하는 데 필요한 리소스와 교육을 프로젝트에 제공할 수 있습니다.그리고 두 단계가 포함됩니다:
SEAL Chaos 팀이 프로젝트 개발자와 협력하여 가상 공격 시나리오를 개발하고 잠재적인 취약점을 문서화하는 테이블톱 연습
공격을 시뮬레이션하기 위해 SEAL Chaos 팀은 테스트 네트워크의 취약점을 사용하여 프로젝트 개발자에게 도전하고 다양한 범주의 취약점을 분류하고 수정합니다.
따라서 프로젝트가 해킹되어 긴급 대응이 필요한 경우 또는 극단적인 상황에 대처하기 위해 사전에 레드팀 훈련을 수행해야 하는 경우 이 도구를 사용할 수 있습니다.
samczsun 이 사람은 누구입니까?
Paradigm 연구 파트너이자 보안 책임자인 samczsun은 Paradigm의 포트폴리오 회사와 보안 및 관련 주제에 대한 연구에 중점을 두고 있습니다.
지난 2년 동안 samczsun은 반복적으로 조기 경고를 발령하고 모든 규모의 Web3 보안 사고에 적극적으로 참여해 왔으며 암호화 업계에서 가장 친숙한 화이트 해커일 것입니다.
불완전한 통계에 따르면 지난 몇 년 동안 Samczsun은 SushiSwap, ENS 등을 포함하여 수억 달러의 손실을 방지하면서 직접적인 경고를 통해 최소 수십 개의 프로젝트가 관련 취약점을 사전에 발견하도록 도왔습니다.
타임라인을 정렬하면 Web3 보안에 대한 samczsun의 오픈 소스 기여가 같은 맥락에 있다는 것을 알 수 있습니다.
2022년 9월, samczsun은 이더리움 주소 태그 지정 및 검색 웹사이트인 이더리움 태그 데이터베이스를 개발 및 출시했으며, 이더리움 태그 데이터베이스를 사용하여 이더리움 주소를 태그할 수 있으며 누구나 이에 기여할 수 있으며 주소, 태그(사용)를 사용하여 와일드카드) 검색;
2023년 8월에는 위에서 언급한 텔레그램 로봇 SEAL 911이 출시될 예정입니다.
요약
우리는 종종 Web3 세계는 기술 인재와 해커의 천국이다라고 말하는데, 특히 2020년 DeFi 여름 이후 Web3 세계의 보안 위험은 비대칭 일방적 사냥과 같습니다. 해커에게는 의심할 여지 없이 함정입니다. 프로젝트 개발자와 일반 사용자를 위한 끝없는 무료 현금 지급기는 언젠가는 쓰러질 다모클레스의 검에 가깝습니다.
그리고 시큐리티 얼라이언스는 일련의 조합 펀치를 통해해킹과 같은 보안 사고의 영향을 받은 암호화폐 사용자가 24시간 7일 긴급 핫라인에 액세스할 수 있도록 허용하고, 도난당한 자금을 구할 때 화이트 해커에게 법적 보호를 제공하며, Web3 개발자가 조직 시스템 공격에 대해 적대적 네트워크를 시뮬레이션할 수 있는 무료 연습을 제공합니다.취약점을 파악하고 효과적인 대응을 준비합니다.
적어도 현재 암호화 분야에 관한 한 이것은 이미 현재 가장 완벽한 Web3 보안 솔루션입니다.암호화의 어두운 숲을 여행할 때 모든 사람을 덜 잔인하게 만들 수 있을지는 지켜봐야 합니다.
IOS
Android