加密世界總能給我們帶來“驚喜”。上周,Nomad遭受了多方攻擊,300個地址利用漏洞從跨鏈橋上提取了1.9億美元的資金。但在被攻擊后的幾天里,41個地址返回了約3600萬美元價值的資金。這些人是一群“白帽黑客”,他們以金錢獎勵和不受法律干擾來換取Nomad的資金。
白帽是加密生態系統中的強大力量,每個協議都應該考慮設計機制來啟用他們。深度防御不容忽視,而白帽代表了該框架的關鍵支柱。那么我們如何才能最好地啟用白帽呢?
建議如下:
每個協議都應該主動設置一個“Dropbox”,以供白帽存儲協議資金。
與此同時,還應承諾對于將資金從協議轉移到該地址的白帽,協議不會采取法律行動,并允許白帽在此過程中保留部分資金。
這一機制為白帽提供了一個清晰的技術、經濟和法律框架。通過清晰的表述,他們可以在事件發生時全心全意地維護協議。
OpenSea CEO:NFT賽道相比整體加密領域更為健康,未來NFT也可以美元計價:12月29日消息,OpenSea首席執行官Devin Finzer在接受《金融時報》采訪時表示,雖然加密行業近期遇到了一些挫折(指 FTX 崩盤事件),但相信 NFT 仍會有光明的未來,NFT不一定會一直像今天這樣以加密貨幣計價進行買賣,雖然以加密貨幣計價在當前生態中有很多意義,但隨著 NFT 更容易獲得,用例更加廣泛,不能以美元來計價是一件沒有道理的事。
對于行業現狀,Devin Finzer表示預計加密市場將進入長期低迷,但OpenSea是在一條健康的賽道上。監管機構和官員了解 NFT 與更廣泛的加密行業之間的區別,例如加密領域非常關注金融用例,這一點非常重要。
提到NFT的價值,Devin Finzer表示 NFT 的價值應該取決于人們如何參與其中,無論是通過使用NFT參加獨家活動、玩游戲,還是在家中展示數字藝術品,未來每個人都會有越來越多的數字化財產。[2022/12/29 22:15:14]
當白帽發現漏洞時,會發生什么?
在馬斯克撤回收購Twitter提議后,Twitter最新股價與提出收購時相比下跌36%:金色財經消息,在馬斯克上周撤回購買Twitter的提議后,Twitter的股票周一在盤前交易中大幅下跌。在撰寫本文時,其股價為34.31美元,較周五收盤價36.85美元下跌6.89%。新的價格反映了馬斯克在4月份提出的以每股54.2美元收購Twitter的報價相比有36%的折扣,與其他科技股相比,它的跌幅更明顯。[2022/7/12 2:06:29]
目前,大多數協議都沒有“Dropbox”或明確的白帽政策。當白帽發現漏洞時,有三種常見可能性。
1.他們可以聯系核心團隊,修復漏洞。有兩個主要的風險:通信過程太慢,或者通信通道中的某人直接利用漏洞。例如,后者延緩了OpenZeppelin在Convex協議中發現漏洞的補丁的部署。
2.他們可以嘗試對漏洞本身采取行動,并將自己定義為事后的白帽。這往往會導致錯誤的身份識別,因為他們很難與黑帽區分開來。例如,目前還不清楚PolyNetwork的黑客是否是白帽。
動態 | 外媒:Circle正尋求籌集1.5億美元 相比此前報道的目標減少40%:據The Block消息,據知情人士透露,加密初創公司Circle正尋求籌集1.5億美元,遠低于The Information今年3月報道的2.5億美元目標,降低了40%。消息來源包括該公司的一名前員工和一名審查其投資推介臺的人士。根據Crunchbase的數據,該公司迄今已從Pantera Capital、Digital Currency Group和比特大陸等籌集總計2.46億美元的公開資金。Circle業務的核心是場外交易業務。該公司解雇大約30名員工,占員工總數的10%。裁員不一定與場外交易平臺面臨的壓力有關。一名前員工表示,“交易柜臺沒有人被裁掉。” Circle拒絕對融資情況置評,指出其Circle Trade業務盈利,預計Poloniex在Q2和Q1增加更多客戶。[2019/5/22]
3.不作為。考慮到其他選擇所涉及的聲譽和法律風險,我們懷疑許多白帽,尤其是機構會選擇被動方式。
行情 | 離岸人民幣匯率大跌 相比USDT已經出現負溢價:據新浪數據,離岸人民幣匯率今日早間出現大跌,美元兌人民幣最低跌至6.8145元,創1月23日以來新低。火幣OTC交易購買USDT最低價為6.79元,相比離岸人民幣匯率已經出現負溢價。在岸人民幣匯率為6.7354元,相比USDT溢價率已經降至0.81%。[2019/5/6]
此外,對白帽也沒有明確的補償機制。對于那些出于道德原因這樣做的人來說,這可能沒什么問題,但許多人想從他們獲得的價值中獲得一些份額。由于缺乏補償計劃,白帽更傾向于選擇第三種——不作為。
在活躍的開發過程中,這些權衡變得更加尖銳,比如Nomad跨鏈橋事件。當然,我們沒有時間去接觸核心團隊,而且為了確保資金的安全而加入這場爭奪戰也存在很大的法律風險。第三種選擇再次成為最具吸引力的。而不參與白帽可能會阻礙協議的安全態勢。
“Dropbox”的優勢
動態 | EOS注冊賬戶突破60萬,相比其他公鏈用戶活躍度仍占上風:據IMEOS消息,12月20日,EOS主網賬戶數量突破60萬。不到一個月時間,EOS主網賬戶從11月16日的50萬跳躍到60萬。
據Spider Store數據顯示,當前EOS主網24小時活躍用戶51959,ETH 24小時活躍用戶9222。EOS主網上去中心化交易所Newdex 24小時活躍用戶1414,24小時交易額112970EOS。ETH上去中心化交易所IDEX 24小時活躍用戶879,24小時交易額3561ETH。
目前以太坊上僅有DApp數量與其他公鏈相比占有優勢,從用戶活躍度角度、交易量和活躍賬戶分析EOS仍穩居上風。[2018/12/21]
協議并非注定面對被“洗劫一空”的命運。它們可以為白帽們提供技術、經濟和法律上的清晰性,使他們能夠參與競爭。Nomad跨鏈橋事件就是例子,作為一個協議,盡管在開發后提供了如此清晰的獎勵信息,但仍只收回了約20%的資金。這種清晰的表述本可以提前發揮更大的作用。
因此,我們建議協議采取以下步驟:
1.在它們的公鏈上建立一個“Dropbox”。理想情況下,這些密鑰應該由多方控制,在創始團隊成員之間分配,并有一些合理的機制來提取資金。
2.建立一個清晰和公開的承諾,將資金從協議轉移到“Dropbox”的白帽將不會被視為不良行為者或被協議追究,只要他們遵守賠償限額,并沒有其他不法行為的證據。
3.為那些將資金從協議轉移到“Dropbox”的白帽們設立一個明確定義的獎勵計劃。最簡單的方案是按百分比轉移資金。然而,如果配合一些事后的KYC檢查以防止女巫攻擊,也可以實施一個最高限額的理論上的獎勵計劃。第三種機制是每次事件支付固定的名義款項,根據所的資金按比例分配給參與的白帽。
這一機制為白帽提供了第四個選擇,當他們發現漏洞時:將資金轉移到“Dropbox”,并獲得少量分成。重要的是,這種新的“Dropbox”選擇應該始終主導“不作為”過程,無論是出于法律原因還是經濟原因。曾因缺乏透明度和獎勵而猶豫不決的白帽現在已經有了明確動機,可以保護協議的資金。這個新選項進一步主導了接受資金并在之后確認自己是白帽的策略。
最后,考慮到“Dropbox”的速度和經濟回報,這個新選項很可能會接觸到核心團隊的策略。從表面上看,這對以前可以免費了解漏洞的協議來說可能不可取。然而,該協議確實獲得了速度方面的好處,這在活躍漏洞存在時是至關重要的。簡而言之,白帽會有一個清晰的框架,鼓勵他們以快速和可預測的方式行動,實現雙方的互利。
這一機制在活躍的開發過程中更加有效,例如Nomad事件。清晰的框架鼓勵快速和廣泛的參與。我們不知道在Nomad被盜事件過程中,在沒有明確的獎勵和回報的情況下,是否有許多有技能的白帽選擇不參與。當然,推特上有很多關于這個漏洞的實時討論。不難想象,如果他們知道自己有更多的合法掩護,他們中的一些人可能會加入這場戰斗,成為白帽。
提前設置“Dropbox”還有一個小好處。在Nomad攻擊之后的幾天里,人們對正確的地址產生了混淆,有一次公布了一個錯誤的地址。提前設置“Dropbox”地址可以減少此類錯誤的發生。
“Dropbox”并非沒有缺陷。主要的問題是“Dropbox”會公開暴露漏洞并關閉整個協議,這是破壞性的。此外,如果白帽只獲得一部分資金,或者協議中的其他合約也有同樣的漏洞,這也是危險的。白帽往往是認真且有能力的,但我們不應該對這些風險掉以輕心。協議需要權衡這一缺點與其他好處。
漏洞獎勵和“Dropbox”獎勵該選哪個?
成熟的協議通常已經有一個防御措施:漏洞獎勵。這使得“Dropbox”的使用更加微妙。
“Dropbox”應該被設計成漏洞獎勵的補充,而不是替代品。漏洞獎勵緩解了“Dropbox”的主要弱點,因為漏洞是在受控條件下識別和修補的,對用戶的影響最小。漏洞獎勵也具有“Dropbox”的許多優點,它們為白帽提供了清晰的法律框架和經濟激勵。與漏洞獎勵相比,“Dropbox”保留的主要優勢是速度。在黑客活躍或協議處于關鍵期間,“Dropbox”可以比漏洞賞金更快地被用來保護資金。
協議如何并行地實現這兩個步驟,如何通過“Dropbox”解決黑客活躍期間的漏洞?答案在于激勵。特別是“Dropbox”提供的獎勵應該低于漏洞獎勵。當白帽發現漏洞時,他們會判斷漏洞是否具有時間敏感性。如果是,他們唯一的選擇就是使用“Dropbox”機制并獲得較低的獎勵。如果沒有,他們首選的選擇是使用漏洞賞金機制并要求更高的獎勵。
再次強調,我們不應該忽視部署兩個重疊但截然不同的機制的微妙之處。考慮到支付的確定性和速度,白帽可能會傾向于使用“Dropbox”。白帽在判斷漏洞的時間敏感性時可能會犯錯誤。但這兩種機制都是強大的,這種設置使危機中最知情的行動者——白帽能夠做出最佳決策。
總結
協議通常會在被盜取后使用一些“Dropbox”的衍生品,例如為返還資金的黑客提供安全保障。通過提供清晰的法律框架、明確的獎勵和確保資金安全的技術機制,“Dropbox”可以吸引和授權加密社區的無名英雄來保護他們的協議。
也許“Dropbox”能帶來一些真正意想不到的好處。也許有一天,一個黑客會選擇使用它。雖然“Dropbox”主要是為白帽準備的,但我們會張開雙臂歡迎潛在的對手轉變為盟友。加密世界可能是混亂和不可預測的,但往往有出人意料的結果。
希望這篇文章對大家有一定的幫助。
在加密行業你想抓住下一波牛市機會你得有一個優質圈子,大家就能抱團取暖,保持洞察力。如果只是你一個人,四顧茫然,發現一個人都沒有,想在這個行業里面堅持下來其實是很難的。
有疑惑的,或者要一起做家人的。歡迎加入!
尊敬的XT.COM用戶:VET錢包升級維護已完成,XT.COM現已恢復VET充提業務。給您帶來的不便,請您諒解!感謝您對XT.COM的支持與信任!XT.COM團隊2022年8月17日XTZ突破4.
1900/1/1 0:00:00市場消息 8月15日消息,在過去的1個月里,大約10億美元從USDC轉移到了USDT。說到USDC和USDT,對幣圈有所了解的投資者可能會知道,USDC和USDT都是穩定幣,而對于剛入幣圈的投資.
1900/1/1 0:00:008月17日消息,以太坊分叉項目EthereumPow今日發推文稱,ETHWCore將引入流動性池凍結技術保護用戶資產,在以太坊PoW硬分叉之后,特別是最初的幾個區塊.
1900/1/1 0:00:00隨著以太坊合并日期逼近,以太坊選擇權未平倉合約量創下歷史新高,以太坊期貨未平倉合約金額也創下自4月初以來的最高水平.
1900/1/1 0:00:00尊敬的XT.COM用戶:XTZ錢包升級維護已完成,XT.COM現已恢復XTZ充提業務。給您帶來的不便,請您諒解!感謝您對XT.COM的支持與信任!XT.COM團隊2022年8月18日Layer2.
1900/1/1 0:00:00親愛的Dcoin用戶: 大幣網(Dcoin)現已恢復基于Monero的代幣的充提使用。網絡升級期間給您帶來的不便,敬請諒解,感謝您對大幣網(Dcoin)的支持! Dcoin全球運營團隊 2022.
1900/1/1 0:00:00