ผู้เขียนต้นฉบับ: Frank, Foresight News

ในตอนเย็นของวันที่ 14 กุมภาพันธ์ samczsun ผู้อำนวยการฝ่ายความปลอดภัยของ Paradigm ได้ประกาศอย่างเป็นทางการถึงการเปิดตัวโครงการเซฟฮาร์เบอร์ของแฮ็กเกอร์หมวกขาว Security Alliance ซึ่งก่อให้เกิดกระแสในโลกการเข้ารหัสอย่างรวดเร็ว โปรโตคอลหลัก เช่น Uniswap ได้ร่วมมือกับหน่วยงานรักษาความปลอดภัยในอุตสาหกรรม เช่น SlowMist Technology, OpenZeppelin และ Messari คนดัง เช่น Ryan Selkis ผู้ก่อตั้งและซีอีโอได้โต้ตอบและเรียกร้องให้สนับสนุน

ในฐานะแฮกเกอร์หมวกขาวที่มีชื่อเสียงที่สุดในด้านการรักษาความปลอดภัย Web3 โปรแกรมแฮ็กเกอร์หมวกขาวที่เรียกว่า Security Alliance ที่เรียกว่าอะไรกันแน่ที่เปิดตัวโดย samczsun และจะทำอะไรเฉพาะเจาะจง มันอาจมีผลกระทบต่อการเข้ารหัส อุตสาหกรรมและฟิลด์ความปลอดภัยของ Web3 ผลกระทบคืออะไร?

พันธมิตรด้านความปลอดภัย คืออะไร?

ก่อนอื่น คำนี้เป็นไปตามชื่อของมัน Security Alliance แปลเป็นภาษาอังกฤษตามตัวอักษรว่า Security Alliance ความเข้าใจง่ายๆ ก็คือ เป็นองค์กรพันธมิตรด้านสวัสดิการสาธารณะที่อุทิศตนเพื่อการรักษาความปลอดภัยเครือข่าย:

Security Alliance ได้รวบรวมทีมงานที่ดีที่สุดในด้านความปลอดภัยทางไซเบอร์เพื่อช่วยรักษา DeFi ให้ปลอดภัยผ่านโครงการริเริ่มต่างๆ เช่น SEAL 911 และ Wargames

ตามข้อมูลที่เปิดเผยโดย samczsun ในช่วงต้นเดือนสิงหาคม 2022 เมื่อโปรโตคอลการทำงานร่วมกันข้ามสายโซ่ Nomad ถูกโจมตี (Foresight News ตั้งข้อสังเกตว่าการสูญเสียในเหตุการณ์ Nomad สูงถึง 190 ล้านดอลลาร์สหรัฐ) เขาร่วมมือกับทีมรักษาความปลอดภัยของ a16z crypto เพื่อเข้าร่วมการโจมตีการวิเคราะห์การระบุแฮกเกอร์

ในกระบวนการนี้ พวกเขาร่วมมือกันเพื่อช่วยโครงการ Nomad กู้คืนเงินทุนจำนวน 38.8 ล้านดอลลาร์จากแฮกเกอร์หมวกขาวหลายรายที่จงใจดูดเงินออกไปเพื่อปกป้องพวกเขาจากผู้โจมตี ซึ่งยังก่อให้เกิดต้นแบบองค์กรแรกสุดและปรัชญาการดำเนินงานของ Security Alliance .

เนื่องจากแฮกเกอร์หมวกขาวมักจะเป็นคนแรกที่สังเกตเห็นหรือได้รับคำเตือนเกี่ยวกับช่องโหว่ นี่คือเนื้อหาทวีตรายวันของนักวิจัย/สถาบันด้านความปลอดภัยที่มีชื่อเสียง เช่น samczsun, SlowMist และ PeckShield

แต่ปัญหาก็คือนักพัฒนาและนักวิจัยด้านความปลอดภัยที่มีความซับซ้อนทางเทคนิคและใส่ใจเรื่องความปลอดภัยจำนวนมากไม่สามารถช่วยเหลือได้เนื่องจากความคลุมเครือทางกฎหมายที่เกี่ยวข้องกับการช่วยเหลือแฮ็กเกอร์หมวกขาว:

ไม่ว่าจะไม่ได้รับอนุญาตเนื่องจากเหตุผลในการทำงานหรือมีความกังวลเกี่ยวกับปัจจัยอื่น ๆ ในบริบทนี้หากมีกรอบทางกฎหมายที่อนุญาตให้หมวกขาวใช้การกระทำเพื่อแสดงไมตรีจิต คนก็สามารถมีส่วนร่วมได้มากขึ้นเหตุการณ์ Nomad เป็นตัวอย่างทั่วไป

โดยสรุป samczsun ตัดสินใจสร้างองค์กรที่เกี่ยวข้องที่ให้เจ้าหน้าที่รักษาความปลอดภัยไม่ต้องกังวลและตอบสนองต่อเหตุการณ์ด้านความปลอดภัยได้เร็วและดียิ่งขึ้นดังนั้น หลังจากการทำงานหนักมากว่าหนึ่งปี Security Alliance ก็ถือกำเนิดขึ้นมา - ขจัดอุปสรรคที่อาจขัดขวางไม่ให้แฮกเกอร์หมวกขาวปกป้องโปรโตคอลของเราแบบเรียลไทม์ และเสริมศักยภาพให้กับนักวิจัยด้านความปลอดภัย เพื่อว่าหากสิ่งอื่นล้มเหลว แฮกเกอร์หมวกขาวสามารถทำหน้าที่เป็น แนวป้องกันสุดท้าย

ในระยะสั้น,Security Alliance มุ่งหวังที่จะจัดเตรียมกรอบการคุ้มครองทางกฎหมายสำหรับแฮกเกอร์หมวกขาว แจ้งให้เจ้าของระบบที่มีช่องโหว่ทราบโดยเร็วที่สุด และจัดให้มีสภาพแวดล้อมและการสนับสนุนในการโจมตีและป้องกันปัจจุบัน Security Alliance ได้เปิดตัวร่างข้อตกลงเกี่ยวกับ GitHub และเปิดให้ขอความคิดเห็นจากชุมชนเป็นระยะเวลาหนึ่งเดือนซึ่งจะสิ้นสุดในวันที่ 14 มีนาคม 2567

ตามเว็บไซต์อย่างเป็นทางการ Security Alliance มีผู้บริจาคและพันธมิตรมากกว่า 50 ราย รวมถึง Paradigm, Ethereum Foundation, a16z crypto, Vitalik Buterin, Filecoin Foundation, Coinbase, Dragonfly, Framework, Electric Capital และอื่นๆ กลุ่มผลิตภัณฑ์อยู่ในอันดับต้นๆ

สินค้า/บริการหลักสามประการ

ปัจจุบันมีผลิตภัณฑ์/บริการหลักสามรายการที่ระบุโดย Security Alliance: Whitehat Safe Harbor Agreement, SEAL 911 และ SEAL Wargames

นักวิจัยด้านการเข้ารหัส @lex_node และ Delphi Labs ได้ช่วยพัฒนาโปรโตคอล Safe Harbor และมีแผนริเริ่มสนับสนุนอื่นๆ ที่จะเปิดตัวในปีนี้

ข้อตกลงการให้ความคุ้มครอง White Hat: มาตรฐานการปฏิบัติงานของ White Hat

ดังที่แสดงไว้ข้างต้น Security Alliance ทำหน้าที่เป็นแพลตฟอร์มสวัสดิการสาธารณะที่เป็นกลางซึ่งรวบรวมผู้เชี่ยวชาญชั้นนำจากหลากหลายสาขาในสาขาการเข้ารหัส เกือบจะสร้างเครือข่ายที่เข้าถึงระบบนิเวศการเข้ารหัสทั้งหมดเพื่อค้นหาผู้มีความสามารถที่ดีที่สุดในสาขาวิชาชีพใด ๆ ช่วยดำเนินการ แผนการ.

จากข้อมูลนี้ White Hat Safe Harbor Protocol จึงเป็นเฟรมเวิร์กที่ครอบคลุมซึ่งออกแบบมาโดยเฉพาะเพื่อจัดการกับเหตุการณ์การโจมตีที่แอ็คทีฟ สามารถเข้าใจได้ว่าเป็น ข้อกำหนดการดำเนินการด้านความปลอดภัยของ White Hat ในเฟรมเวิร์กนี้โปรโตคอลสามารถให้ความคุ้มครองทางกฎหมายแก่แฮกเกอร์หมวกขาวที่ช่วยกู้คืนทรัพย์สินในระหว่างเหตุการณ์การโจมตีที่กำลังดำเนินอยู่

กล่าวคือมีความคล้ายคลึงกับรางวัลบั๊กตรงที่ว่า หากโปรโตคอลใช้โปรโตคอล Safe Harbor ก่อนเกิดเหตุการณ์การโจมตี แฮกเกอร์หมวกขาวจะมีความเข้าใจที่ชัดเจนว่าพวกเขาจะดำเนินการช่วยเหลืออย่างไร เช่น:

• สินทรัพย์ใดบ้างที่อยู่ในขอบเขตของโปรโตคอล (เช่น โทเค็น ERC 20 ใด ๆ ในที่อยู่เฉพาะ)

• อะไรคือรางวัลสำหรับความสำเร็จในการช่วยเหลือหมวกขาว (เช่น 10% ของเงินทุนที่ได้รับการช่วยเหลือ หรือจำนวนเงินสูงสุด 1 ล้านเหรียญสหรัฐ)

• เงินที่ได้รับการช่วยเหลือควรส่งคืนที่ไหน (เช่น ที่อยู่ที่มีลายเซ็นหลายลายเซ็น)

ซึ่งหมายความว่าแฮกเกอร์หมวกขาวสามารถเข้าใจขอบเขตการปฏิบัติงาน จรรยาบรรณ และมาตรฐานการให้รางวัลของตนโดยสัญชาตญาณและได้รับการคุ้มครองทางกฎหมาย แน่นอนว่า หากหมวกขาวตัดสินใจดำเนินการช่วยเหลือหมวกขาว พวกเขาจะต้องปฏิบัติตามกระบวนการที่กำหนดไว้ในข้อตกลง .

หน่วยซีล 911: สายด่วนฉุกเฉิน 7 × 24

รูปแบบสินค้าของ SEAL 911 เป็นหุ่นยนต์ Telegram พูดง่ายๆ ก็ถือได้ว่าเป็นสายด่วนฉุกเฉินที่เชื่อมต่อโดยตรงกับฝ่ายของโครงการและทีมงาน ทุกคนสามารถใช้เพื่อติดต่อกับทีมงานของโครงการในกรณีฉุกเฉินได้ข้อความใดๆ ที่ผู้ใช้ส่งไปจะถูกส่งต่อไปยังทีมงานโครงการที่เกี่ยวข้องโดยอัตโนมัติ

ลองนึกภาพว่าหากวันหนึ่งคุณเป็นคนแรกที่ค้นพบเบาะแสของการโจมตีแบบออนไลน์ต่อโปรโตคอลบางอย่าง ในกรณีฉุกเฉิน เวลาคือเงิน แต่อาจเป็นเรื่องยากสำหรับคุณที่จะรู้ว่าใครควรขอความช่วยเหลือหรือออกประเด็น การแจ้งเตือนการเปิดเผยข้อมูลทันทีโดยเฉพาะวิธีการแจ้งเจ้าหน้าที่โดยเร็วที่สุด

SEAL 911 เป็นช่องทางที่ผู้ใช้ นักพัฒนา และคนอื่นๆ ที่ต้องการคำแนะนำด้านความปลอดภัยอย่างเร่งด่วน ช่วยเปิดเผยช่องโหว่ที่สำคัญ หรือเพียงแค่ประสานความคืบหน้ากับนักวิจัยคนอื่นๆ ก็สามารถใช้ Telegram bot นี้เพื่อเชื่อมต่อกับอาสาสมัครผู้เชี่ยวชาญที่ได้รับการตรวจสอบอย่างรอบคอบ การเชื่อมต่อเป็นทีม

จากนั้นทีมงานหน่วยซีล 911 จะพิจารณาคำขอและให้ความช่วยเหลือโดยตรงหรือส่งไปยังจุดติดต่อที่ถูกต้อง จากข้อมูลของ Samczsun ในช่วง 6 เดือนที่ผ่านมา SEAL 911 ได้ช่วยขัดขวาง บล็อก และแก้ไขการโจมตีของแฮ็กเกอร์หลายครั้ง รวมถึงช่วยเหลือผู้คนจำนวนมากในเรื่องข้อกังวลด้านความปลอดภัยอื่นๆ

SEAL Wargames: มอบสภาพแวดล้อมการรุกและการป้องกันสีแดงและสีน้ำเงิน

SEAL Wargames มีตำแหน่งอย่างเป็นทางการว่า Red Team Practice ซึ่งสามารถเข้าใจได้ง่ายว่าจัดให้มีสภาพแวดล้อมการรุกและการป้องกันสีแดงและสีน้ำเงิน

เนื่องจากนักพัฒนาจำนวนมากอาจไม่เคยประสบกับสภาพแวดล้อมที่มีความเข้มข้นสูงของเหตุการณ์ด้านความปลอดภัยมาก่อน จึงเป็นเรื่องยากสำหรับพวกเขาที่จะมุ่งความสนใจไปที่และมีประสิทธิภาพ เนื่องจากทุก ๆ วินาทีอาจหมายถึงการสูญเสียเงินหลายล้านดอลลาร์สำหรับผู้โจมตี

และSEAL Wargames สามารถจัดหาทรัพยากรและการฝึกอบรมที่จำเป็นสำหรับโครงการเพื่อเตรียมพร้อมสำหรับสถานการณ์ที่รุนแรงและประกอบด้วยสองขั้นตอน:

• แบบฝึกหัดบนโต๊ะ โดยทีม SEAL Chaos ทำงานร่วมกับผู้พัฒนาโครงการเพื่อพัฒนาสถานการณ์การโจมตีสมมุติและบันทึกช่องโหว่ที่อาจเกิดขึ้น

• เพื่อจำลองการโจมตี ทีม SEAL Chaos ใช้ช่องโหว่บนเครือข่ายทดสอบเพื่อท้าทายผู้พัฒนาโครงการ จัดเรียงช่องโหว่ในหมวดหมู่ต่างๆ และแก้ไข

ดังนั้น หากโปรเจ็กต์ถูกแฮ็กและต้องการการตอบสนองฉุกเฉิน หรือหากจำเป็นต้องมีการฝึกซ้อมทีมสีแดงล่วงหน้าเพื่อจัดการกับสถานการณ์ที่รุนแรง เครื่องมือนี้ก็สามารถใช้ได้

samczsun คนนี้คือใคร?

ในฐานะหุ้นส่วนการวิจัย Paradigm และหัวหน้าฝ่ายความปลอดภัย samczsun มุ่งเน้นไปที่บริษัทในพอร์ตโฟลิโอของ Paradigm และการวิจัยด้านความปลอดภัยและหัวข้อที่เกี่ยวข้อง

ในช่วงสองปีที่ผ่านมา samczsun ได้ออกคำเตือนล่วงหน้าซ้ำแล้วซ้ำเล่าและมีส่วนร่วมในเหตุการณ์ความปลอดภัยของ Web3 ทุกขนาด เขาควรจะเป็นแฮ็กเกอร์หมวกขาวที่คุ้นเคยมากที่สุดในอุตสาหกรรมการเข้ารหัส:

ตามสถิติที่ไม่สมบูรณ์ ในช่วงไม่กี่ปีที่ผ่านมา Samczsun ได้ช่วยโครงการอย่างน้อยหลายสิบโครงการค้นพบช่องโหว่ที่เกี่ยวข้องล่วงหน้าผ่านการเตือนโดยตรง หลีกเลี่ยงการสูญเสียหลายร้อยล้านดอลลาร์ รวมถึง SushiSwap, ENS ฯลฯ

หากคุณจัดเรียงตามไทม์ไลน์ คุณจะพบว่าการมีส่วนร่วมของโอเพ่นซอร์สของ samczsun ต่อการรักษาความปลอดภัย Web3 อยู่ในแนวทางเดียวกัน:

ในเดือนกันยายน 2022 samczsun พัฒนาและเปิดตัวฐานข้อมูลแท็ก Ethereum ซึ่งเป็นเว็บไซต์การแท็กที่อยู่และค้นหา Ethereum และระบุว่าฐานข้อมูลแท็ก Ethereum สามารถใช้ในการแท็กที่อยู่ Ethereum และใคร ๆ ก็สามารถมีส่วนร่วมได้ และตามที่อยู่ แท็ก (โดยใช้ ไวด์การ์ด) ค้นหา;

ในเดือนสิงหาคม 2566 หุ่นยนต์โทรเลข SEAL 911 ที่กล่าวถึงข้างต้นจะเปิดตัว

สรุป

เรามักพูดว่า โลกของ Web3 เป็นสวรรค์สำหรับผู้มีความสามารถทางเทคนิคและแฮกเกอร์ โดยเฉพาะอย่างยิ่งตั้งแต่ช่วงฤดูร้อนปี 2020 ของ DeFi ความเสี่ยงด้านความปลอดภัยในโลกของ Web3 ก็เหมือนกับการตามล่าทางเดียวที่ไม่สมมาตร สำหรับแฮกเกอร์ มันเป็นกับดักอย่างไม่ต้องสงสัย . เครื่องถอนเงินฟรีที่ไม่มีที่สิ้นสุดสำหรับนักพัฒนาโครงการและผู้ใช้ทั่วไปเป็นเหมือน ดาบแห่ง Damocles ที่จะตกลงมา ณ จุดใดจุดหนึ่ง

และ Security Alliance ผ่านการต่อยแบบผสมผสานอนุญาตให้ผู้ใช้ crypto ที่ได้รับผลกระทบจากเหตุการณ์ด้านความปลอดภัย เช่น การแฮ็ก เพื่อเข้าถึงสายด่วนฉุกเฉิน 7 x 24 ชั่วโมง ยังให้ความคุ้มครองทางกฎหมายสำหรับแฮกเกอร์หมวกขาวเมื่อช่วยเหลือเงินที่ถูกขโมย และให้แบบฝึกหัดฟรีสำหรับนักพัฒนา Web3 เพื่อจำลองเครือข่ายฝ่ายตรงข้ามจากการโจมตีระบบองค์กรเพื่อระบุจุดอ่อนและเตรียมการรับมืออย่างมีประสิทธิผล

อย่างน้อยที่สุดที่เกี่ยวข้องกับฟิลด์การเข้ารหัสปัจจุบันนี่เป็นโซลูชันความปลอดภัย Web3 ที่สมบูรณ์แบบที่สุดในขณะนี้ คงต้องรอดูกันว่าจะสามารถทำให้ทุกคนโหดร้ายน้อยลงเมื่อเดินทางผ่านป่าแห่งการเข้ารหัสอันมืดมิดหรือไม่