比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

相比事后補救,項目方用Dropbox維系“白帽”的風控性價比更高?_DRO

Author:

Time:1900/1/1 0:00:00

加密世界總能給我們帶來“驚喜”。上周,Nomad遭受了多方攻擊,300個地址利用漏洞從跨鏈橋上提取了1.9億美元的資金。但在被攻擊后的幾天里,41個地址返回了約3600萬美元價值的資金。這些人是一群“白帽黑客”,他們以金錢獎勵和不受法律干擾來換取Nomad的資金。白帽是加密生態系統中的強大力量,每個協議都應該考慮設計機制來啟用他們。深度防御不容忽視,而白帽代表了該框架的關鍵支柱。那么我們如何才能最好地啟用白帽呢?建議如下:每個協議都應該主動設置一個“Dropbox”,以供白帽存儲協議資金。與此同時,還應承諾對于將資金從協議轉移到該地址的白帽,協議不會采取法律行動,并允許白帽在此過程中保留部分資金。這一機制為白帽提供了一個清晰的技術、經濟和法律框架。通過清晰的表述,他們可以在事件發生時全心全意地維護協議。

報告:與去年6月相比,Cosmos是開發者最多的區塊鏈:7月9日消息,據Electric Capital的報告顯示,與去年6月相比,開發者最多的區塊鏈分別是Cosmos(1684)、Starknet(407)、Optimism(269),但增幅最高的是Aztec protocol(267%)、Sui(159%)、TON(102%)。[2023/7/9 22:26:56]

當白帽發現漏洞時,會發生什么?

目前,大多數協議都沒有“Dropbox”或明確的白帽政策。當白帽發現漏洞時,有三種常見可能性。他們可以聯系核心團隊,修復漏洞。有兩個主要的風險:通信過程太慢,或者通信通道中的某人直接利用漏洞。例如,后者延緩了OpenZeppelin在Convex協議中發現漏洞的補丁的部署。他們可以嘗試對漏洞本身采取行動,并將自己定義為事后的白帽。這往往會導致錯誤的身份識別,因為他們很難與黑帽區分開來。例如,目前還不清楚PolyNetwork的黑客是否是白帽。不作為。考慮到其他選擇所涉及的聲譽和法律風險,我們懷疑許多白帽,尤其是機構會選擇被動方式。此外,對白帽也沒有明確的補償機制。對于那些出于道德原因這樣做的人來說,這可能沒什么問題,但許多人想從他們獲得的價值中獲得一些份額。由于缺乏補償計劃,白帽更傾向于選擇第三種——不作為。在活躍的開發過程中,這些權衡變得更加尖銳,比如Nomad跨鏈橋事件。當然,我們沒有時間去接觸核心團隊,而且為了確保資金的安全而加入這場爭奪戰也存在很大的法律風險。第三種選擇再次成為最具吸引力的。而不參與白帽可能會阻礙協議的安全態勢。

MicroStrategy CEO:BTC采礦與世界總能源使用量相比“微不足道”:金色財經報道,MicroStrategy 首席執行官邁克爾·塞勒(Michael Saylor)表示,比特幣(BTC)采礦的總能源使用“無關緊要”,而且正在變得更有效率 ,因為采礦業正準備本周在美國眾議院舉行聽證會。根據首席執行官的說法,比特幣使用的能源量僅占其他主要行業的“舍入誤差”,與世界總能源使用量相比“微不足道,相對于全球能源使用量,BTC使用了大約 14 個基點,而且鑒于比特幣的哈希率或計算能力“大幅增加”,這一數字在過去一個季度有所上升。(cryptonews)[2022/1/19 8:59:12]

“Dropbox”的優勢

協議并非注定面對被“洗劫一空”的命運。它們可以為白帽們提供技術、經濟和法律上的清晰性,使他們能夠參與競爭。Nomad跨鏈橋事件就是例子,作為一個協議,盡管在開發后提供了如此清晰的獎勵信息,但仍只收回了約20%的資金。這種清晰的表述本可以提前發揮更大的作用。因此,我們建議協議采取以下步驟:在它們的公鏈上建立一個“Dropbox”。理想情況下,這些密鑰應該由多方控制,在創始團隊成員之間分配,并有一些合理的機制來提取資金。建立一個清晰和公開的承諾,將資金從協議轉移到“Dropbox”的白帽將不會被視為不良行為者或被協議追究,只要他們遵守賠償限額,并沒有其他不法行為的證據。為那些將資金從協議轉移到“Dropbox”的白帽們設立一個明確定義的獎勵計劃。最簡單的方案是按百分比轉移資金。然而,如果配合一些事后的KYC檢查以防止女巫攻擊,也可以實施一個最高限額的理論上的獎勵計劃。第三種機制是每次事件支付固定的名義款項,根據所擔保的資金按比例分配給參與的白帽。這一機制為白帽提供了第四個選擇,當他們發現漏洞時:將資金轉移到“Dropbox”,并獲得少量分成。重要的是,這種新的“Dropbox”選擇應該始終主導“不作為”過程,無論是出于法律原因還是經濟原因。曾因缺乏透明度和獎勵而猶豫不決的白帽現在已經有了明確動機,可以保護協議的資金。這個新選項進一步主導了接受資金并在之后確認自己是白帽的策略。最后,考慮到“Dropbox”的速度和經濟回報,這個新選項很可能會接觸到核心團隊的策略。從表面上看,這對以前可以免費了解漏洞的協議來說可能不可取。然而,該協議確實獲得了速度方面的好處,這在活躍漏洞存在時是至關重要的。簡而言之,白帽會有一個清晰的框架,鼓勵他們以快速和可預測的方式行動,實現雙方的互利。這一機制在活躍的開發過程中更加有效,例如Nomad事件。清晰的框架鼓勵快速和廣泛的參與。我們不知道在Nomad被盜事件過程中,在沒有明確的獎勵和回報的情況下,是否有許多有技能的白帽選擇不參與。當然,推特上有很多關于這個漏洞的實時討論。不難想象,如果他們知道自己有更多的合法掩護,他們中的一些人可能會加入這場戰斗,成為白帽。提前設置“Dropbox”還有一個小好處。在Nomad攻擊之后的幾天里,人們對正確的地址產生了混淆,有一次公布了一個錯誤的地址。提前設置“Dropbox”地址可以減少此類錯誤的發生。“Dropbox”并非沒有缺陷。主要的問題是“Dropbox”會公開暴露漏洞并關閉整個協議,這是破壞性的。此外,如果白帽只獲得一部分資金,或者協議中的其他合約也有同樣的漏洞,這也是危險的。白帽往往是認真且有能力的,但我們不應該對這些風險掉以輕心。協議需要權衡這一缺點與其他好處。

動態 | HBAR相比發行價跌近87% CEO擬實施四項措施以改變這一局面:明星項目 Hedera Hashgraph (HBAR)發行成本為0.12美元,現報0.0157美元,跌幅近87%。Hedera Hashgraph聯合創始人兼 CEO 給投資者的一封信中指出,Hedera Hashgraph早期網絡的使用率和需求遠遠低于預期,但理事會有信心和計劃改變這一局面。

1.預計明年將實行一項支持SAFT投資者的提案,通過將每年網絡交易費、財政部門銷售額的10%釋放給SAFT投資者(SAFT 投資者需延長 25% 的解鎖時長,并以投資額為分紅硬頂)。

2.將在 2020 年推出全新的DApp開發者激勵計劃;

3.優化理事會治理結構,執行董事兼副主席Brett McDowell將直接向管理委員會報告;

4.加快 Hedera 共識服務的技術部署,代碼庫的基礎層(Swirlds 哈希圖層)將開放供公眾查看。(區塊律動)[2019/12/24]

聲音 | CNBC:相比黃金和白銀 75%的受訪者寧愿選擇比特幣:為了了解普通人的看法,CNBC Futures Now發起推特民意調查,以了解交易者是更喜歡比特幣、黃金還是白銀。該調查涉及4221名參與者,其中75%選擇比特幣作為安全交易。黃金和白銀分別獲得19%和6%的選票。[2019/7/29]

漏洞獎勵和“Dropbox”獎勵該選哪個?

成熟的協議通常已經有一個防御措施:漏洞獎勵。這使得“Dropbox”的使用更加微妙。“Dropbox”應該被設計成漏洞獎勵的補充,而不是替代品。漏洞獎勵緩解了“Dropbox”的主要弱點,因為漏洞是在受控條件下識別和修補的,對用戶的影響最小。漏洞獎勵也具有“Dropbox”的許多優點,它們為白帽提供了清晰的法律框架和經濟激勵。與漏洞獎勵相比,“Dropbox”保留的主要優勢是速度。在黑客活躍或協議處于關鍵期間,“Dropbox”可以比漏洞賞金更快地被用來保護資金。協議如何并行地實現這兩個步驟,如何通過“Dropbox”解決黑客活躍期間的漏洞?答案在于激勵。特別是“Dropbox”提供的獎勵應該低于漏洞獎勵。當白帽發現漏洞時,他們會判斷漏洞是否具有時間敏感性。如果是,他們唯一的選擇就是使用“Dropbox”機制并獲得較低的獎勵。如果沒有,他們首選的選擇是使用漏洞賞金機制并要求更高的獎勵。再次強調,我們不應該忽視部署兩個重疊但截然不同的機制的微妙之處。考慮到支付的確定性和速度,白帽可能會傾向于使用“Dropbox”。白帽在判斷漏洞的時間敏感性時可能會犯錯誤。但這兩種機制都是強大的,這種設置使危機中最知情的行動者——白帽能夠做出最佳決策。

聲音 | Equity Armor Investments首席投資官:相比白銀,更愿意做多黃金或比特幣:據CNBC報道,貴金屬白銀剛剛結束自2016年以來的最佳一周,在周四觸及2019年新高后,引發了對貴金屬市場的新興趣。一直穩步上升的黃金緊隨其后,于周五攀升至6年高點,隨后逐漸降溫。但不是每個人都認為白銀的上漲會持續。 但對一些人來說,包括Equity Armor Investments首席投資官Brian Stutland,比特幣似乎是一種比白銀更好的投資。Stutland表示,通常情況下,如果我們將進入一個增長和需求下降的時期,白銀將傾向于表現不佳。他會做空白銀,甚至對黃金進行多空倉(Long-Short),他還是更喜歡黃金;長期來看,甚至比特幣此次大幅回調后也是如此。[2019/7/21]

總結

協議通常會在被盜取后使用一些“Dropbox”的衍生品,例如為返還資金的黑客提供安全保障。通過提供清晰的法律框架、明確的獎勵和確保資金安全的技術機制,“Dropbox”可以吸引和授權加密社區的無名英雄來保護他們的協議。也許“Dropbox”能帶來一些真正意想不到的好處。也許有一天,一個黑客會選擇使用它。雖然“Dropbox”主要是為白帽準備的,但我們會張開雙臂歡迎潛在的對手轉變為盟友。加密世界可能是混亂和不可預測的,但往往有出人意料的結果。

Tags:BOXDRODROP比特幣BOX63AIRDROP幣MEMEDROP納世幣值錢還是比特幣值錢

比特幣最新價格
Galaxy Digital:Q2虧損超5.54億美元,仍關注行業并購_GAL

Odaily星球日報譯者|念銀思唐 摘要: -GalaxyDigital報告稱,第二季度虧損超過5.54億美元,是去年同期虧損的三倍多.

1900/1/1 0:00:00
對話Mysten Labs聯合創始人:詳解Sui技術方案與路線_NFT

8月18日,Mynft團隊與MystenLabs聯合創始人、Move語言創造者SamBlackshear在TwitterSpace進行了一次深入訪談.

1900/1/1 0:00:00
以太坊「合并」將如何影響Web3世界?_以太坊

在數碼圈子里存在著一批礦工,他們購買顯卡拿去進行算力挖礦,獲取以太坊區塊鏈上的出塊獎勵ETH。然而,隨著2020年ETH價格上漲,礦工們為了獲取更多的利益,從市場上收走了大量的30系新顯卡,據傳.

1900/1/1 0:00:00
?星球日報|Solana漏洞被攻擊錢包數量超1.5萬個; Hashed證實其在LUNA崩盤中損失逾30億美元(8月3日)_WEB3

頭條 數據:Solana漏洞被攻擊錢包數量超1.5萬個根據區塊鏈瀏覽器Solscan的數據,在截至目前的黑客攻擊中,按照SOL、USDC以及其他基于Solana的代幣統計.

1900/1/1 0:00:00
星球日報 | Tornado Cash被制裁引發投攻擊;Curve.fi域名服務器遭盜用(8月11日)_CUR

頭條 加密交易平臺Hotbit宣布暫停充提及交易功能加密交易平臺Hotbit宣布暫停充提及交易功能,具體恢復時間目前無法確定.

1900/1/1 0:00:00
關于以太坊合并的8個常見誤解_APR

「預測合并將在9月15日左右發生,但確切日期取決于哈希率。」8月12日,以太坊聯合 創始人 Vitalik Buterin在推特公布了一個相對明晰的網絡合并日期.

1900/1/1 0:00:00
ads