Tiêu đề ban đầu: "Meet the Vigilantes Who Hack Millions in Crypto to Save It From Thieves》

Tác giả gốc: Lorenzo Franceschi-Bicchierai

Biên dịch nguyên tác: Guo Qianwen, Chain Catcher

Biên dịch nguyên tác: Guo Qianwen, Chain Catcher

Vào sáng sớm ngày 9 tháng 3, khi LP vẫn đang ngủ, anh ấy đột nhiên nhận được các cuộc gọi Telegram. Theo cô, đây không bao giờ là một dấu hiệu tốt. Trong bộ đồ ngủ cài cúc, cô kéo rèm phòng ngủ, lấy máy tính xách tay ra khỏi chăn và đeo kính áp tròng. Đã đến lúc tiết kiệm tiền điện tử của người khác—hãy hack chúng trước.

LP, một kỹ sư có bằng tiến sĩ từng làm việc tại một công ty luật ở Thung lũng Silicon và hiện là người sáng lập công ty an ninh mạng RugDoc và Paladin Blockchain Security, đã phát biểu với điều kiện giấu tên để bảo vệ quyền riêng tư. Cô ấy muốn mọi người biết rằng tiền điện tử không chỉ là kịch bản “tầng hầm đầy những người tử tế”.

Đó là một đồng nghiệp của cô ấy đang nói chuyện điện thoại, nói với cô ấy về một cuộc tấn công vào các nhà đầu tư trong một giao thức tiền điện tử có tên là Fantasm, giao thức này có hàng triệu đô la thanh khoản bị các nhà đầu tư khóa.

Khi cô ấy tỉnh táo, mở máy tính xách tay của mình và hợp tác với hai đồng nghiệp để cố gắng đánh bại các tin tặc và tiết kiệm càng nhiều tiền điện tử càng tốt. Trong thế giới tiền điện tử, nơi tiền bị đánh cắp thường bị mất vĩnh viễn do tính chất không thể đảo ngược của chuỗi khối, tiết kiệm tiền có nghĩa là hack trước khi kẻ trộm thực hiện.

LP cho biết: “Những kẻ hám tiền này có thể tìm ra một cách rất dễ dàng để khai thác lỗ hổng và đột nhiên, hàng triệu đô la bị đánh cắp”.

Cuộc chạy đua chống lại tin tặc bắt đầu. Các đồng nghiệp của LP đã phát hiện ra những sơ hở mà tin tặc đang khai thác.Với sự giúp đỡ của anh ấy, LP đã viết một loạt hợp đồng thông minh nhằm khai thác những sơ hở trước tin tặc.

"Hừ, chúng ta cứu mạng ngươi, ngươi nên cho chúng ta một ít."

Các vụ hack nhanh chóng gia tăng do các hoạt động trên blockchain được công khai. Các hành động mũ trắng của LP và các đồng nghiệp đã được ghi lại trên blockchain sau nhiều lần thay đổi và tin tặc cũng có thể nhận thấy các hoạt động của họ. Tại thời điểm này, các tin tặc cơ hội khác đã nhìn thấy những gì đang xảy ra và thậm chí bắt đầu kiếm tiền từ cơ hội này. Nhưng cuối cùng, LP và hai đồng nghiệp của cô đã tiết kiệm được hàng chục nghìn đô la và giúp dự án sửa lỗi cũng như ngăn chặn tin tặc tấn công. Tuy nhiên, hacker vẫn kiếm được khoảng 800 ETH, trị giá khoảng 1,5 triệu đô la tính đến thời điểm hiện tại, theo LP.

Theo LP, toàn bộ hoạt động kéo dài khoảng nửa giờ.

tiêu đề phụ

hacker mũ trắng

Sự xuất hiện của "tin tặc mũ trắng" có thể bắt nguồn từ thời kỳ đầu phát minh ra Internet, vốn xuất phát từ bối cảnh "người tốt đội mũ trắng và kẻ xấu đội mũ đen" trong phim ảnh phương Tây. Trong thế giới an ninh mạng, hacker mũ trắng được công nhận là hacker chính nghĩa, chẳng hạn như LP.

Tuy nhiên, trong thế giới tiền điện tử, ranh giới giữa đen và trắng không quá rõ ràng.

Một số tin tặc đã khai thác sơ hở để đánh cắp tiền, sau đó tuyên bố công khai rằng họ sẽ trả lại tiền nếu được thưởng. Ví dụ, trong vụ hack kỳ lạ của Poly Network, công ty đã nhiều lần công khai cầu xin các hacker, gọi họ là Mr.Mũ trắng, sau đó họ đã trả lại số tiền điện tử bị đánh cắp - khoảng 600 triệu USD, và vụ hack Multichain gần đây là một ví dụ. Chúng tôi không thể chắc chắn liệu tin tặc trong những trường hợp này có phải là mũ trắng hay không, có thể họ đã thay đổi ý định sau vụ trộm, vì tiền đang nằm trong ví được mã hóa của họ và áp lực gia tăng do sự chú ý của thế giới.

Ngoài ra còn có "tin tặc mũ trắng" như LP khởi động các cuộc tấn công dữ dội, trục vớt tiền, thường chạy đua với các tin tặc bất chính, đôi khi không có sự đồng ý của người dùng giao thức tiền điện tử hoặc ví được nhắm mục tiêu. Ý định luôn được giữ bởi những tin tặc này là trả lại tiền cho chủ sở hữu hợp pháp của chúng.

Từ này lần đầu tiên xuất hiện trong bối cảnh này có lẽ vào năm 2016, khi các lập trình viên tình nguyện tự gọi mình là nhóm Robin Hood cạnh tranh với các tin tặc đã đánh cắp hàng triệu đô la ETH từ The DAO, sau đó là triển vọng hứa hẹn nhất trong không gian tiền điện tử. Vào thời điểm đó, nhóm đã tiết kiệm được khoảng 15 triệu đô la ETH bằng cách đánh bại các tin tặc, một sự kiện được biết đến rộng rãi với tên gọi "hack mũ trắng". Năm sau, nhóm, hiện tự gọi mình là Nhóm mũ trắng, đã tiết kiệm được 200 triệu đô la tiền điện tử sau khi ứng dụng khách ethereum Parity bị tấn công.

Thực tiễn này đã trở nên thường xuyên hơn trong thời gian gần đây với các vụ hack nhắm mục tiêu vào người dùng và giao thức tiền điện tử. Theo một báo cáo của công ty an ninh mạng blockchain Immunefi, tin tặc và những kẻ lừa đảo đã đánh cắp khoảng 1,23 tỷ đô la tiền điện tử chỉ trong ba tháng đầu năm nay.

Motherboard đã phỏng vấn năm người, bao gồm cả LP, người cho biết họ có kinh nghiệm trực tiếp tham gia vào loại hoạt động mũ trắng này.

Stephen Tong, đồng sáng lập công ty bảo mật chuỗi khối Zellic, nói với Motherboard trong một cuộc trò chuyện trực tuyến: "Trong Web3, các hacker mũ trắng đang được săn đón như những anh hùng. Đó chắc chắn là một tình huống đôi bên cùng có lợi. Mọi người tán thành hành vi này, bởi vì nếu tôi "Tôi không làm thì còn ai làm? Ít nhất thì tôi cũng giỏi hơn một số người đội mũ đen. Đó là tâm lý của chúng tôi."

Không rõ liệu các hacker mũ trắng có hợp pháp trong việc đánh cắp ví hoặc thỏa thuận của người khác mà không có sự đồng ý của họ hay không.

Preston Byrne, một luật sư nghiên cứu các vấn đề về tiền điện tử, đã nói với Motherboard trong một email: "Hach hack mũ trắng là cao quý, nhưng hoạt động này chứa đầy rủi ro nếu không có sự đồng ý của mục tiêu hoạt động. Tiết lộ lỗ hổng là một chuyện, bất kể vi phạm quyền của chủ sở hữu quỹ bên thứ ba vì lý do này là lý do khác và nếu mục tiêu trở nên không hài lòng với vụ hack vì lý do nào đó, tin tặc có thể phải chịu trách nhiệm dân sự và hình sự.”

Kết quả cuối cùng có thể phụ thuộc vào suy nghĩ của tổ chức hoặc cá nhân có tiền điện tử bị tin tặc mũ trắng lấy đi mà không có sự đồng ý của họ.

Preston cho biết: “Vấn đề với các hacker mũ trắng/mũ xám là một số mục tiêu của chiến dịch có thể cảm ơn họ vì đã nói cho họ biết về lỗ hổng, nhưng một số người khác có thể tức giận và gọi cảnh sát. một hệ thống hợp đồng thông minh Khi thời điểm đến, điều tốt nhất nên làm là thông báo riêng cho các nhà phát triển và để đó ở đó - bạn không phải siêu nhân, và nhiệm vụ của bạn không phải là cứu thế giới."

Việc thực hành hack mũ trắng, liên quan đến việc lấy tiền điện tử từ người dùng hoặc thậm chí là ví của tin tặc, có thể được so sánh với khái niệm hack ngược gây tranh cãi. Trong thế giới an ninh mạng, chống hack về cơ bản đề cập đến nạn nhân của một vụ vi phạm dữ liệu đang cố gắng tự khôi phục các tệp bị đánh cắp, thu thập thông tin về nơi ở và danh tính của tin tặc -- để tấn công. Mặc dù động thái này gây tranh cãi, nhưng việc đẩy lùi tin tặc đã tồn tại, nhưng nó được thực hiện trong bí mật vì những rủi ro pháp lý.

Một số diễn viên mũ trắng trong thế giới tiền điện tử đang cố gắng tránh nguy cơ bị truy tố.

Emiliano Bonassi là một nhà nghiên cứu an ninh mạng blockchain, người cũng đã tham gia vào một số hoạt động mũ trắng. Trong một trường hợp vào năm ngoái, ví của người dùng nền tảng đầu tư tiền điện tử Primitive Finance đã bị lộ và bất kỳ ai có sở trường khai thác lỗ hổng đều có thể truy cập được.

"Cách duy nhất chúng tôi có thể cứu người dùng giao thức là rút tiền từ ví của họ và thông báo cho họ. Vì vậy, đó là trường hợp xấu nhất mà bạn có thể gặp phải vì về cơ bản, bạn đang bòn rút tiền của người dùng."

Bonassi đã làm việc cùng với người sáng lập Immunefi, ông Mitchell Amador và các nhà nghiên cứu tại công ty an ninh mạng tiền điện tử Dedaub với tư cách là người trung gian trong vụ việc. Ngoài ra, các nhân viên của Primitive Finance cũng tham gia vào cuộc giải cứu ngay từ đầu, theo một cuộc điều tra khám nghiệm tử thi của các hacker mũ trắng.

Không giống như LP, Bonassi và các đồng nghiệp của ông không sử dụng ví riêng của họ để giữ tiền mà chỉ hướng dẫn các nhà phát triển giao thức cách thực hiện các cuộc tấn công mũ trắng.

"Chúng tôi chỉ cho họ cách thực thi, chúng tôi phát triển các kịch bản thực thi, chúng tôi thực hiện các mô phỏng và chúng tôi nói với họ rằng chúng tôi hỗ trợ bạn, bạn thực hiện. Nếu mọi thứ không ổn, chúng tôi sẽ hành động."

Một số nhà nghiên cứu bảo mật mạng chuỗi khối nhận thức đầy đủ về các rủi ro - sử dụng ví của chính họ và tấn công các ví dễ bị tổn thương mà không có sự đồng ý của chủ sở hữu ví hoặc người xây dựng giao thức chứa đầy rủi ro.

Một nhà nghiên cứu an ninh mạng đã nói chuyện với Motherboard với điều kiện giấu tên chính xác vì rủi ro khi sử dụng ví khi tiết kiệm tiền điện tử của người khác cho biết anh ta đã làm như vậy trong một vài trường hợp trước đây.

"Đó là một điều đáng lo ngại, vì vậy có lẽ tôi không nên xuất hiện trước công chúng. Toàn bộ ngành công nghiệp hiện đang hơi lo lắng, đó là lý do tại sao tôi không tích cực tham gia vào các hoạt động này nữa", nhà nghiên cứu nói với Motherboard qua điện thoại.

Những người khác hoàn toàn không sử dụng ví của họ.

"Nguyên tắc cá nhân của tôi là tôi sẽ không bao giờ gửi giao dịch một mình. Tôi sẽ không bao giờ ký quỹ tiền của người khác. Samczsun (bút danh), một nhà nghiên cứu bảo mật làm việc cho công ty đầu tư tiền điện tử Paradigm, nói với Motherboard qua điện thoại, "Nguyên tắc của tôi là rằng tôi cung cấp cho bạn tất cả thông tin bạn cần, để bạn nắm bắt tình hình nhanh nhất có thể, sau đó để bạn quyết định. Tôi sẽ không nhúng tay vào và tự mình tiếp quản toàn bộ, nếu bạn muốn tôi giúp, tôi sẽ giúp. Nếu bạn sẵn sàng tự mình xử lý việc này, thì tôi rất sẵn lòng bước sang một bên và để bạn xử lý. "

"Cá nhân tôi sẽ miễn cưỡng điều tra một vụ việc như vậy nếu tôi muốn tạm thời mua và xử lý các tài sản có giá trị lên tới 9 con số." và gần 10 triệu USD trong vụ Liên tài chính). "Vì vậy, nếu có thể, tôi sẽ tránh nó hoàn toàn. Tôi không chắc liệu Luật Good Samaritan, luật khuyến khích mọi người giúp đỡ những người gặp nguy hiểm hoặc gặp nạn trong các tình huống khẩn cấp, cũng áp dụng cho blockchain hay không, mà không sợ bị kiện nếu họ vô tình gây thương tích hoặc tử vong."

Preston cho rằng Samczsun đúng vì Đạo luật lạm dụng và gian lận máy tính xử phạt các hành động gây tổn thất, chẳng hạn như lấy tiền điện tử từ ví của ai đó, ngay cả khi hành động đó không gian lận.

"Nếu bạn quyết định đi một mình, bạn chắc chắn không nên làm điều đó để tránh bị nghi ngờ. Đó là đùa với lửa và hãy nhớ rằng, bạn có nguy cơ bị các công tố viên chú ý", Preston nói.

“Cách duy nhất chúng tôi có thể cứu người dùng giao thức là rút tiền từ ví của họ.”Tại một hội nghị do Chainalysis tổ chức vào tháng trước, Elizabeth Roper, Trưởng phòng Tội phạm mạng và Đánh cắp danh tính của Văn phòng Biện lý Quận New York, cho biết:

Hack mũ trắng là một "khu vực màu xám thực sự" hợp pháp và đó là khu vực mà các công tố viên có thể muốn tập trung vào.

"Nếu cuối cùng nó tiết kiệm được rất nhiều tiền cho mọi người dùng trên nền tảng và người thực hiện nó bị công khai ngay lập tức, có lẽ chúng tôi sẽ không sử dụng các nguồn lực để truy tố nó," Roper nói. được thực hiện trên cơ sở từng trường hợp. thảo luận trường hợp."

Khi được hỏi liệu cô ấy có lo lắng về những thảm họa không đáng có hay không, LP nói rằng thông thường các dự án tiền điện tử mà cô ấy tham gia có quy mô nhỏ và thậm chí không nằm ở Hoa Kỳ, vì vậy cô ấy đã thực hiện đánh giá rủi ro và tin rằng việc cung cấp trợ giúp sẽ không gặp phải vấn đề gì. nguy cơ bị truy tố.

LP nói: "Rất khó có khả năng tôi bị kiện, nhưng rất có thể tôi sẽ tiết kiệm tiền của người khác và đảm bảo rằng họ không bị phá sản hoàn toàn, và sau đó đó sẽ là một ngày rất tồi tệ đối với họ."

Một kết quả dễ xảy ra hơn đối với các hacker mũ trắng là họ được thưởng cho "rắc rối" mà họ gây ra. Trường hợp Fantasm không phải là nỗ lực cứu vãn duy nhất của LP và nhóm của cô tại RugDoc. Trong trường hợp đó, họ không yêu cầu phần thưởng. Nhưng vào những thời điểm khác, họ yêu cầu một cái gì đó.

“Nếu đó là một dự án lớn, khét tiếng và họ còn dư tiền, chúng tôi sẽ nói, 'Chà, chúng tôi vừa cứu mạng bạn ở đây, và bạn nên cho chúng tôi thứ gì đó'", LP nói.

Nếu không có tiền thưởng lỗi chính thức, phần thưởng tiêu chuẩn thông thường sẽ là 10 phần trăm số tiền đã bị đánh cắp, Bonassi nói. Nhưng trước đây anh ấy cũng đã tham gia vào các cuộc tấn công mũ trắng mà không có bất kỳ khoản thù lao nào, vì anh ấy muốn giúp đỡ các dự án tiền điện tử có liên quan và anh ấy muốn đóng góp cho toàn bộ hệ sinh thái.

Đối với Bonassi, hack mũ trắng không chỉ để ngăn chặn những hacker tương lai mà còn là cơ hội học tập cho mọi người.

Phần thưởng càng lớn, các nhà nghiên cứu càng có động lực tìm và báo cáo lỗi."