导读:Paradigm 的研究合伙人兼安全主管 Sam 是一名白帽黑客,通过负责任地披露漏洞和发布教育资源,在加密生态系统中拯救了数亿美元。在之前与合伙人 Paradigm Dan Robinson 的播客中,Dan 把 Samczsun 称为“加密蝙蝠侠”。每当加密货币生态系统中有大量资金处于危险之中,就会发出蝙蝠信号,Samczsun 就会进来帮助挽救局面。
Samczsun 近日在 WLD Show 播客中谈了自己成为白帽黑客的体验,以下内容是链捕手对本期播客内容的整理:
WLD Show:什么是白帽黑客?
Sam:从宏观角度看,它取决于你做事的初衷是好是坏,当然好与坏的定义其实并不客观,但总的来说白帽黑客会去做好事,阻止一些事件的发生,如果他们进行了攻击行为,会第一时间进行揭露,通知当事人。但是黑帽黑客就是会带来消极影响,比如会盗取资金、资产等。灰帽黑客则介于两者之间,他们可能以善意的名号去进行攻击行为。所以这其实是一个很模糊的界限,他们确实攻击了,但是是为了做好事,那这是白帽还是黑帽?但总的来说,是白帽还是黑帽就是取决于你是否做的是好事。
WLD Show:你为什么选择成为白帽黑客?
Sam:首先当黑客抢钱也是不容易的,当然这是开玩笑。我从小被教育就是要照顾别人,回馈社群,那现在如果我能给社会做一些贡献,当然也许结果有好有坏,我就去做了。
WLD Show:帮我们介绍一下黑客的生态系统吧。
Sam:对我而言整个系统的风险很高,就像一个pvp游戏,当然这是我自己的一个看法,当你发现一个问题或收到问题警报时,你只有几分钟,幸运的话有几小时去处理,这其实很短的时间,然后很有可能黑客就会把钱盗走了。尤其我最近参与的几个案件中,其实都只有“生死攸关”的几秒钟:要么挽救资金,要么资金永远消失。所以风险是很高的。
如果你想参与这些活动的话:那首先你对区块链安全要有不错的了解,比如以太坊、智能合约等,然后你就可以开始找新协议、新目标,开始研究和行动。等你一旦找到找到一个漏洞,这个过程就变得非常紧张,“时间就一直在滴答作响”,这是一个心理过程:因为漏洞一直在那,你一旦确认它存在,那一切就都变成“真实可触”了,整个过程就很很疯狂,要去赶快找到正确的联系人,因为这些数十亿的资产能否被拯救就取决于你的知识。
那最大的挑战就是找到真的开发者,因为这些信息很可能会被攻击,导致最后钱丢了。那我会觉得这是我的责任:虽然是出于好意,但是开发者没收到信息,十分钟后钱还是被盗,虽然法律上可能我不负责,但我自己会觉得是我的责任。所以整个过程是很紧张的。一旦我找到研发人发,我马上把漏洞交给他们,我就感觉如释重负。
最难的部分结束了,下一步就是合作解决,看看是否有共同行动的可行措施,能否中断协议,用管理密钥拯救资金,或者最坏结果就是直接去拯救资金。我自己是不发送交易的,一个是因为责任问题,一个也是因为我也不想做那个“按下最终按钮”的人,所以我会告知研发人员,给他们指导,他们会自己发送交易,如果需要我的帮助,那我也会提供帮助。那最终要么我们就是能拯救成功,要么就是出于各种各样的原因失败了,这就是一个基本的过程。
WLD Show:很多人发推表示这些救援活动所获奖金与实际拯救的资金相比其实挺令人失望的。你是怎么看的呢?
Sam:我觉得这关乎一个问题就是,多少的奖金才算是足够的?每一方都能有很多论点。但有一个现实问题是,很多项目,它们拥有的资金其实都不是为项目所有的,无论是抽取10%、20%,这些其实都是用户的资金,所以其实不是程序员和项目可以决定的。当然有的项目有很多资金,也许可以拿出一大部分奖金,但是剩下的超过90%的项目都是没有这样大量的资金的。
WLD Show:Web3中白帽黑客与传统Web2的区别?
Sam:在加密货币的世界里,一切都是瞬间发生的,比如你在DOMpurify中发现一个漏洞, DOMpurify据我所知是用Cure 53写的项目,用来清理html, 公司用此来确保系统运行,不会受到脚本攻击, 比如确保前端不会受到跨站脚本攻击。那比如谷歌受到攻击,但是用户还能登入注册,那这就很糟糕了。
比如说我们现在在DOMpurify中报告出一个漏洞,那么这是需要很多时间去解决的。首先你能发现一个漏洞的概率就很低,其次发现之后,需要整个的处理过程。在Web2中,这个过程包括比如启动私人安全邮件列表,打补丁,要求用户升级依赖性等一系列措施。
但在Web3中,你没有时间比如去申请相关资格证书等等,10分钟以内资金可能就会进入新的钱包,20分钟后,钱包就消失了。与Web2相比,你是没有比如说6个月来解决问题的。
所以总的而言,Web3中这些事件的发生和处理时间相对更短,但影响则很大。
WLD Show:对,这可能也和代码开源有关,因为一切都是透明的。
Sam:是的,比如至少在以太坊中,你要加入社群进行参与,你就要拥抱透明,这不同于比如Solana,代码是不公开的,但至少也会有代码验证,一般你能在项目页面看到指向比如GitHub或Etherscan的代码验证链接。所以我觉得协议也要做出改变,比如推出紧急补丁。总之以太坊上的安全问题是十分透明的,人人都可以查看发生了什么。
WLD Show:Paradigm是一家独特的风投公司,有自己的研究团队和很多人才比如Dan Robinson,那么你为什么要加入这家公司呢?
Sam:其实就是被这里有才华的人吸引。有一句谚语大意就是说“你要是屋子里最聪明的人,那也许你该换间屋子。”所以每天能和在各个领域都比我优秀的人才一起工作是我向往的。
WLD Show:那么能否介绍下你加入的过程?
Sam:我之前就和Georgios
| 欢迎光临 优惠论坛 (https://tcelue.co/) | Powered by Discuz! X3.1 |