ภาวะที่กลืนไม่เข้าคายไม่ออกของการช่วยเหลือหมวกขาว: แจ้งฝ่ายโครงการเท่านั้นหรือโอนทรัพย

ชื่อเรื่องเดิม: "Meet the Vigilantes Who Hack Millions in Crypto to Save It From Thieves》

ผู้เขียนต้นฉบับ: Lorenzo Franceschi-Bicchierai

รวบรวมข้อความต้นฉบับ: Guo Qianwen, Chain Catcher

รวบรวมข้อความต้นฉบับ: Guo Qianwen, Chain Catcher

ในเช้าตรู่ของวันที่ 9 มีนาคม ขณะที่ LP ยังหลับอยู่ จู่ๆ เขาก็เริ่มรับสายโทรเลข ตามที่เธอพูด นี่ไม่ใช่สัญญาณที่ดีเลย ในชุดนอนแบบกระดุม เธอรูดม่านห้องนอน ดึงแล็ปท็อปออกจากผ้าห่ม และสวมคอนแทคเลนส์ ถึงเวลาบันทึกสกุลเงินดิจิทัลของผู้อื่นแล้ว แฮ็กข้อมูลเหล่านั้นก่อน

LP วิศวกรปริญญาเอกที่ทำงานในสำนักงานกฎหมายใน Silicon Valley และปัจจุบันเป็นผู้ก่อตั้งบริษัทด้านความปลอดภัยทางไซเบอร์ RugDoc และ Paladin Blockchain Security พูดถึงเงื่อนไขของการไม่เปิดเผยตัวตนเพื่อปกป้องความเป็นส่วนตัว เธอต้องการให้ทุกคนรู้ว่า cryptocurrency ไม่ใช่แค่สถานการณ์ "ห้องใต้ดินที่เต็มไปด้วยคนดี"

เป็นเพื่อนร่วมงานของเธอที่คุยโทรศัพท์โดยบอกเธอเกี่ยวกับการโจมตีนักลงทุนในโปรโตคอล cryptocurrency ที่เรียกว่า Fantasm ซึ่งมีสภาพคล่องหลายล้านดอลลาร์ถูกล็อคโดยนักลงทุน

เมื่อเธอสร่างเมาแล้ว เปิดแล็ปท็อป และร่วมมือกับเพื่อนร่วมงานสองคนเพื่อพยายามเอาชนะแฮ็กเกอร์และบันทึกสกุลเงินดิจิทัลให้ได้มากที่สุด ในโลกของสกุลเงินดิจิทัล ที่ซึ่งเงินที่ถูกขโมยมักจะหายไปตลอดกาลเนื่องจากธรรมชาติของบล็อกเชนที่เปลี่ยนแปลงไม่ได้ การออมเงินหมายถึงการแฮ็กก่อนที่หัวขโมยจะลงมือ

“นักฉกเงินเหล่านี้สามารถหาวิธีง่ายๆ ในการใช้ประโยชน์จากช่องโหว่ และทันใดนั้น เงินหลายล้านดอลลาร์ก็ถูกขโมยไป” LP กล่าว

การแข่งขันกับแฮกเกอร์เริ่มต้นขึ้น เพื่อนร่วมงานของ LP ได้ค้นพบช่องโหว่ที่แฮ็กเกอร์กำลังใช้ประโยชน์ ด้วยความช่วยเหลือของเขา LP จึงเขียนชุดสัญญาอัจฉริยะเพื่อใช้ประโยชน์จากช่องโหว่ก่อนแฮ็กเกอร์

“เราช่วยชีวิตคุณไว้ คุณน่าจะให้อะไรกับเราบ้าง”

การแฮ็กรุนแรงขึ้นอย่างรวดเร็วเนื่องจากการเผยแพร่การดำเนินการบนบล็อกเชน การกระทำของหมวกขาวของ LP และเพื่อนร่วมงานได้รับการบันทึกไว้ในบล็อกเชนหลังจากพลิกผันหลายครั้ง และแฮ็กเกอร์ยังสามารถสังเกตเห็นกิจกรรมของพวกเขาได้ ณ จุดนี้ แฮ็กเกอร์ฉวยโอกาสคนอื่นๆ เห็นว่ากำลังเกิดอะไรขึ้น และเริ่มใช้โอกาสนั้นทำเงิน แต่ท้ายที่สุด LP และเพื่อนร่วมงานสองคนของเธอสามารถประหยัดเงินได้หลายหมื่นดอลลาร์และช่วยโครงการแก้ไขจุดบกพร่องและป้องกันแฮ็กเกอร์จากการโจมตี อย่างไรก็ตาม แฮ็กเกอร์ยังคงทำเงินได้ประมาณ 800 ETH ซึ่งมีมูลค่าประมาณ 1.5 ล้านดอลลาร์ ณ ตอนนี้ ตามข้อมูลของ LP

จากข้อมูลของ LP การดำเนินการทั้งหมดใช้เวลาประมาณครึ่งชั่วโมง

ชื่อเรื่องรอง

แฮ็กเกอร์หมวกขาว

การเกิดขึ้นของ "แฮ็กเกอร์หมวกขาว" สามารถย้อนกลับไปได้ถึงจุดเริ่มต้นของการประดิษฐ์อินเทอร์เน็ต เดิมทีมาจากฉาก "คนดีสวมหมวกสีขาวและคนเลวสวมหมวกสีดำ" ในภาพยนตร์ตะวันตก ในโลกของการรักษาความปลอดภัยเครือข่าย แฮ็กเกอร์หมวกขาวได้รับการยอมรับว่าเป็นแฮ็กเกอร์ที่ชอบธรรม เช่น LP

อย่างไรก็ตาม ในโลกของสกุลเงินดิจิทัล เส้นแบ่งระหว่างขาวดำนั้นไม่ชัดเจนนัก

แฮ็กเกอร์บางคนใช้ช่องโหว่เพื่อขโมยเงิน จากนั้นประกาศต่อสาธารณชนว่าพวกเขาจะคืนเงินหากพวกเขาได้รับรางวัล ตัวอย่างเช่น ในการแฮ็กที่แปลกประหลาดของ Poly Network บริษัทได้ขอร้องต่อแฮ็กเกอร์ต่อสาธารณชนซ้ำแล้วซ้ำเล่าโดยเรียกพวกเขาว่า Mr. White Hats หลังจากนั้นพวกเขาก็ส่งคืนสกุลเงินดิจิทัลที่ถูกขโมยไปประมาณ 600 ล้านดอลลาร์ และตัวอย่างการแฮ็ก Multichain ล่าสุด เราไม่สามารถแน่ใจได้ว่าแฮ็กเกอร์ในกรณีเหล่านี้เป็นหมวกขาวหรือไม่ บางทีพวกเขาอาจเปลี่ยนใจหลังจากการโจรกรรม เนื่องจากเงินอยู่ในกระเป๋าเงินที่เข้ารหัสและแรงกดดันเพิ่มขึ้นจากความสนใจของโลก

นอกจากนี้ยังมี "แฮ็กเกอร์หมวกขาว" เช่น LPs ที่เริ่มการโจมตีอย่างรุนแรง กอบกู้เงิน มักจะแข่งกับแฮ็กเกอร์ที่ชั่วร้าย บางครั้งโดยไม่ได้รับความยินยอมจากกระเป๋าเงินเป้าหมายหรือผู้ใช้โปรโตคอลสกุลเงินดิจิทัล ความตั้งใจของแฮ็กเกอร์เหล่านี้คือการคืนเงินให้กับเจ้าของที่ถูกต้อง

คำนี้ถูกพูดถึงครั้งแรกในบริบทนี้ในปี 2559 เมื่อโปรแกรมเมอร์อาสาสมัครที่เรียกตัวเองว่าทีมโรบินฮู้ดแข่งขันกับแฮ็กเกอร์ที่ขโมย ETH มูลค่าหลายล้านดอลลาร์จาก DAO จากนั้นจึงเป็นผู้มีโอกาสเป็นลูกค้าที่มีศักยภาพมากที่สุดในธุรกิจคริปโตเคอเรนซี หนึ่งในองค์กร ในขณะนั้น กลุ่มสามารถประหยัดเงิน ETH ได้ประมาณ 15 ล้านดอลลาร์โดยการเอาชนะแฮ็กเกอร์ ซึ่งเป็นเหตุการณ์ที่รู้จักกันอย่างกว้างขวางในชื่อ "การแฮ็กหมวกขาว" ในปีต่อมา กลุ่มที่เรียกตัวเองว่า White Hat Group ประหยัดเงินได้ 200 ล้านดอลลาร์ในสกุลเงินดิจิทัลหลังจากที่ Parity ไคลเอนต์ ethereum ถูกแฮ็ก

การปฏิบัตินี้เกิดขึ้นบ่อยครั้งมากขึ้นในช่วงไม่กี่ปีที่ผ่านมาโดยมีการแฮ็กที่กำหนดเป้าหมายโปรโตคอลและผู้ใช้สกุลเงินดิจิทัล ตามรายงานของ Immunefi บริษัทด้านความปลอดภัยทางไซเบอร์ของบล็อกเชน แฮ็กเกอร์และสแกมเมอร์ได้ขโมยเงินดิจิทัลไปประมาณ 1.23 พันล้านดอลลาร์ในช่วงสามเดือนแรกของปีนี้

มาเธอร์บอร์ดสัมภาษณ์คน 5 คน รวมถึง LP ซึ่งกล่าวว่าพวกเขามีประสบการณ์โดยตรงในการมีส่วนร่วมในกิจกรรมหมวกขาวประเภทนี้

Stephen Tong ผู้ร่วมก่อตั้งบริษัทรักษาความปลอดภัยบล็อกเชน Zellic กล่าวกับมาเธอร์บอร์ดในแชทออนไลน์ว่า “ใน Web3 แฮ็กเกอร์หมวกขาวถูกมองว่าเป็นฮีโร่ มันเป็นสถานการณ์ที่ win-win แน่นอน ผู้คนเห็นด้วยกับพฤติกรรมนี้ เพราะถ้าฉัน 'ไม่ทำ ใครจะทำอีก อย่างน้อยฉันก็ดีกว่าหมวกสีดำบางคน นั่นคือ ความคิดของเรา "

ยังไม่ชัดเจนว่าแฮ็กเกอร์หมวกขาวมีความชอบธรรมทางกฎหมายในการขโมยกระเป๋าเงินหรือข้อตกลงของผู้อื่นโดยไม่ได้รับความยินยอมจากพวกเขาหรือไม่

Preston Byrne นักกฎหมายที่ศึกษาประเด็นเกี่ยวกับ cryptocurrency กล่าวกับ Motherboard ในอีเมลว่า: "การแฮ็คหมวกขาวเป็นเรื่องที่ดี แต่กิจกรรมนั้นเต็มไปด้วยความเสี่ยงหากไม่ได้รับความยินยอมจากเป้าหมายของการดำเนินการ การเปิดเผยช่องโหว่โดยไม่คำนึงก็เป็นเรื่องหนึ่ง ของเหตุผล การละเมิดสิทธิ์ของเจ้าของกองทุนบุคคลที่สามด้วยเหตุผลหนึ่งเป็นอีกเหตุผลหนึ่งและหากเป้าหมายไม่พอใจกับการแฮ็คด้วยเหตุผลบางประการแฮ็กเกอร์อาจต้องรับผิดทางแพ่งและทางอาญา”

ผลลัพธ์ที่ได้อาจขึ้นอยู่กับความคิดขององค์กรหรือบุคคลที่แฮ็กเกอร์หมวกขาวขโมยเงินดิจิทัลไปโดยไม่ได้รับความยินยอมจากพวกเขา

“ปัญหาของแฮ็กเกอร์หมวกขาว/หมวกเทาคือเป้าหมายของแคมเปญบางอย่างอาจขอบคุณพวกเขาที่บอกพวกเขาเกี่ยวกับช่องโหว่ แต่คนอื่น ๆ อาจเข้าท่าและโทรหาตำรวจ” เพรสตันกล่าว เมื่อแฮ็กเกอร์หมวกขาวค้นพบช่องโหว่ใน ระบบสัญญาอัจฉริยะ เมื่อถึงเวลา สิ่งที่ดีที่สุดที่ควรทำคือการแจ้งให้นักพัฒนาทราบเป็นการส่วนตัวและปล่อยไว้อย่างนั้น - คุณไม่ใช่ยอดมนุษย์ และไม่ใช่หน้าที่ของคุณที่จะต้องกอบกู้โลก"

การแฮกแบบหมวกขาว ซึ่งเกี่ยวข้องกับการขโมยเงินดิจิทัลจากผู้ใช้หรือแม้แต่กระเป๋าเงินของแฮ็กเกอร์ เปรียบได้กับแนวคิดการแฮ็กกลับที่เป็นที่ถกเถียงกัน ในโลกของความปลอดภัยทางไซเบอร์ โดยทั่วไปแล้ว การตอบโต้การแฮ็กจะหมายถึงเหยื่อของการละเมิดข้อมูลซึ่งพยายามกู้คืนไฟล์ที่ถูกขโมยด้วยตัวเอง โดยรวบรวมข้อมูลเกี่ยวกับที่อยู่และตัวตนของแฮ็กเกอร์ เพื่อที่จะทำการแฮ็ก แม้ว่าความเคลื่อนไหวดังกล่าวจะเป็นที่ถกเถียง แต่ก็มีการต่อต้านแฮ็กเกอร์อยู่ แต่ก็ดำเนินการอย่างลับๆ เนื่องจากความเสี่ยงทางกฎหมาย

นักแสดงหมวกขาวบางคนในโลกของ cryptocurrency พยายามหลีกเลี่ยงความเสี่ยงที่จะถูกฟ้องร้อง

Emiliano Bonassi เป็นนักวิจัยด้านความปลอดภัยทางไซเบอร์ของ blockchain ซึ่งมีส่วนร่วมในการดำเนินงานของหมวกขาวหลายครั้ง ในกรณีหนึ่งเมื่อปีที่แล้ว กระเป๋าเงินของผู้ใช้แพลตฟอร์มการลงทุน cryptocurrency Primitive Finance ถูกเปิดเผยและเข้าถึงได้สำหรับทุกคนที่มีความสามารถพิเศษในการใช้ประโยชน์จากช่องโหว่

“วิธีเดียวที่เราสามารถช่วยผู้ใช้โปรโตคอลได้คือการสูบฉีดเงินจากกระเป๋าเงินของพวกเขาและแจ้งให้พวกเขาทราบ ดังนั้น นั่นเป็นสถานการณ์ที่เลวร้ายที่สุดที่คุณสามารถทำได้เพราะคุณกำลังดูดเงินของผู้ใช้โดยพื้นฐาน” Bonassi บอกเมนบอร์ดทางโทรศัพท์

Bonassi ทำงานร่วมกับ Mitchell Amador ผู้ก่อตั้ง Immunefi และนักวิจัยจากบริษัทรักษาความปลอดภัยในโลกไซเบอร์ชื่อ Dedaub ในฐานะคนกลางในคดีนี้ ยิ่งไปกว่านั้น พนักงานของ Primitive Finance ยังมีส่วนร่วมในการช่วยเหลือตั้งแต่เริ่มต้น ตามการสืบสวนหลังชันสูตรโดยแฮ็กเกอร์หมวกขาว

ซึ่งแตกต่างจาก LPs Bonassi และเพื่อนร่วมงานของเขาไม่ได้ใช้กระเป๋าเงินของตนเองเพื่อเก็บเงินทุน แต่เพียงแสดงให้นักพัฒนาโปรโตคอลทราบวิธีการโจมตีหมวกขาว

“เราแสดงให้พวกเขาเห็นวิธีการดำเนินการ เราพัฒนาสคริปต์การดำเนินการ เราจำลองสถานการณ์ และเราบอกกับพวกเขาว่า เราสนับสนุนคุณ คุณดำเนินการ หากทุกอย่างผิดพลาด เราจะดำเนินการ”

นักวิจัยด้านความปลอดภัยเครือข่ายบล็อคเชนบางคนตระหนักดีถึงความเสี่ยง - การใช้กระเป๋าเงินของตนเองและโจมตีกระเป๋าเงินที่มีช่องโหว่โดยไม่ได้รับความยินยอมจากเจ้าของกระเป๋าเงินหรือผู้สร้างโปรโตคอลนั้นเต็มไปด้วยความเสี่ยง

นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่พูดคุยกับมาเธอร์บอร์ดเกี่ยวกับเงื่อนไขของการไม่เปิดเผยตัวตนเนื่องจากความเสี่ยงในการใช้กระเป๋าเงินเมื่อบันทึก cryptocurrency ของคนอื่นกล่าวว่าเขาเคยทำเช่นนั้นมาแล้ว 2-3 กรณีในอดีต

“มันเป็นเรื่องที่น่ากังวล ดังนั้นบางทีฉันไม่ควรอยู่ในสายตาของสาธารณชน ตอนนี้ทั้งอุตสาหกรรมรู้สึกประหม่าเล็กน้อย ซึ่งเป็นเหตุผลว่าทำไมฉันจึงไม่มีส่วนร่วมในกิจกรรมเหล่านี้อีกต่อไป” นักวิจัยบอกกับทางโทรศัพท์ว่ามาเธอร์บอร์ด

คนอื่นไม่ได้ใช้กระเป๋าสตางค์เลย

“หลักการส่วนตัวของฉันคือฉันจะไม่ส่งธุรกรรมเพียงลำพัง ฉันจะไม่ escrow เงินของคนอื่น Samczsun (นามแฝง) นักวิจัยด้านความปลอดภัยที่ทำงานให้กับ Paradigm บริษัทการลงทุนด้าน cryptocurrency กล่าวกับ Motherboard ทางโทรศัพท์ว่า “หลักการของฉันคือ ที่ฉันให้ข้อมูลทั้งหมดที่คุณต้องการ ให้คุณเข้าใจสถานการณ์โดยเร็วที่สุด จากนั้นปล่อยให้คุณตัดสินใจ ฉันจะไม่เข้าไปยุ่งและบังคับจัดการเรื่องทั้งหมดด้วยตัวเอง ถ้าคุณต้องการให้ฉันช่วย ฉันจะทำ หากคุณเต็มใจที่จะจัดการเรื่องนี้ด้วยตัวเอง ฉันก็ยินดีเป็นอย่างยิ่งที่จะถอยห่างและปล่อยให้คุณจัดการ "

"โดยส่วนตัวแล้วฉันไม่เต็มใจที่จะตรวจสอบเหตุการณ์ดังกล่าวหากฉันต้องการซื้อและกำจัดสินทรัพย์เก้าหลักเป็นการชั่วคราว" Samczsun เข้าร่วมในกิจกรรมการแฮ็กหมวกขาวหลายครั้งซึ่งช่วยประหยัดเงินได้หลายล้านในสกุลเงินดิจิทัล ($ 350 ล้านในกรณี Sushi Swap และเกือบ 10 ล้านดอลลาร์ในคดี Lien Finance) “ดังนั้น ถ้าฉันทำได้ ฉันจะหลีกเลี่ยงโดยสิ้นเชิง ฉันไม่แน่ใจว่ากฎหมายพลเมืองดี ซึ่งเป็นกฎหมายที่สนับสนุนให้ผู้คนช่วยเหลือผู้คนที่ตกอยู่ในอันตรายหรือความทุกข์ยากในสถานการณ์ฉุกเฉิน ใช้กับบล็อกเชนด้วยหรือไม่ โดยไม่ต้องกลัวว่าจะถูกฟ้องร้องหาก ทำให้ได้รับบาดเจ็บหรือเสียชีวิตโดยไม่ตั้งใจ"

Preston คิดว่า Samczsun ถูกต้อง เนื่องจากพระราชบัญญัติการฉ้อโกงและการใช้คอมพิวเตอร์ในทางที่ผิด (Computer Fraud and Abuse Act) ลงโทษการกระทำที่ก่อให้เกิดความสูญเสีย เช่น การขโมยเงินดิจิทัลจากกระเป๋าเงินของใครบางคน แม้ว่าจะไม่ใช่การฉ้อโกงก็ตาม

“ถ้าคุณตัดสินใจทำคนเดียว คุณไม่ควรทำเพื่อหลีกเลี่ยงความสงสัยอย่างแน่นอน มันกำลังเล่นกับไฟ และจำไว้ว่า คุณเสี่ยงที่จะถูกอัยการให้ความสนใจ” เพรสตันกล่าว

“วิธีเดียวที่เราสามารถช่วยผู้ใช้โปรโตคอลได้คือการดูดเงินออกจากกระเป๋าเงินของพวกเขา”ในการประชุมที่จัดโดย Chainalysis เมื่อเดือนที่แล้ว เอลิซาเบธ โรเปอร์ หัวหน้าสำนักงานอาชญากรรมไซเบอร์และการโจรกรรมข้อมูลประจำตัวของสำนักงานอัยการเขตนิวยอร์กเคาน์ตีกล่าวว่า

การแฮ็กหมวกขาวเป็น "พื้นที่สีเทาที่แท้จริง" ทางกฎหมาย และเป็นพื้นที่ที่อัยการอาจต้องการให้ความสำคัญ

“หากลงเอยด้วยการช่วยชีวิตผู้ใช้ทุกคนบนแพลตฟอร์มและเงินจำนวนมากและผู้ที่ทำสิ่งนี้เปิดเผยต่อสาธารณะทันที บางที เราอาจจะไม่ใช้ทรัพยากรเพื่อดำเนินคดีกับมัน” Roper กล่าว แต่อีกครั้ง มันจำเป็นต้องเป็น เป็นรายกรณีไป case Discussion"

เมื่อถูกถามว่าเธอจะกังวลเกี่ยวกับภัยพิบัติที่ไม่สมควรหรือไม่ LP กล่าวว่าโดยปกติแล้วโครงการ cryptocurrency ที่เธอเข้าร่วมนั้นมีขนาดเล็กและไม่ได้ตั้งอยู่ในสหรัฐอเมริกาด้วยซ้ำ ดังนั้นเธอจึงทำการประเมินความเสี่ยงและเชื่อว่าการให้ความช่วยเหลือจะไม่เผชิญหน้า เสี่ยงต่อการถูกฟ้องร้อง

LP กล่าวว่า "ไม่น่าเป็นไปได้มากที่ฉันจะถูกฟ้องร้อง แต่เป็นไปได้มากที่ฉันจะช่วยเงินของคนอื่นและทำให้แน่ใจว่าพวกเขาจะไม่ล้มละลาย และจากนั้นมันจะเป็นวันที่เลวร้ายสำหรับพวกเขา"

ผลลัพธ์ที่เป็นไปได้มากกว่าสำหรับแฮ็กเกอร์หมวกขาวคือพวกเขาได้รับรางวัลสำหรับ "ปัญหา" ที่พวกเขาก่อขึ้น คดี Fantasm ไม่ใช่เพียงความพยายามกอบกู้ของ LP และทีมงานของเธอที่ RugDoc ในกรณีนั้นพวกเขาไม่ได้ขอรางวัล แต่บางครั้งพวกเขาต้องการบางอย่าง

"ถ้าเป็นโปรเจ็กต์ใหญ่และมีชื่อเสียง และพวกเขามีเงินเหลือ เราจะพูดว่า 'เราเพิ่งช่วยชีวิตคุณไว้ที่นี่ และคุณควรให้บางอย่างแก่เรา'" แอลพีกล่าว

หากไม่มี Bug Bounty อย่างเป็นทางการ รางวัลมาตรฐานปกติจะเป็น 10 เปอร์เซ็นต์ของเงินที่ถูกขโมยไป Bonassi กล่าว แต่เขายังได้เข้าร่วมในการโจมตีของหมวกขาวในอดีตโดยไม่ได้รับค่าตอบแทนใดๆ เพราะเขาต้องการช่วยโครงการ cryptocurrency ที่เกี่ยวข้อง และเขาต้องการมีส่วนร่วมกับระบบนิเวศทั้งหมด

สำหรับ Bonassi การแฮ็กหมวกขาวไม่ได้เป็นเพียงการขัดขวางผู้ที่อาจเป็นแฮ็กเกอร์เท่านั้น แต่ยังเป็นโอกาสในการเรียนรู้สำหรับทุกคนด้วย

ยิ่งรางวัลมากเท่าไร นักวิจัยก็ยิ่งมีแรงจูงใจในการค้นหาและรายงานจุดบกพร่องมากขึ้นเท่านั้น"