4 月 18 日,艾维·艾森伯格 (Avi Eisenberg) 因 2022 年 10 月利用 Mango Markets 漏洞被判犯有欺诈罪。该案之所以引起特别关注,是因为艾森伯格很快承认实施了这起价值 1.1 亿美元的攻击,并将他的策略描述为一种“高利润交易策略”,而不是犯罪,这依赖于他对“代码即法律”这一格言的解读。
Steven Walbroehl 是 Halborn 的联合创始人兼首席技术官,Halborn 是一家专门从事区块链公司的网络安全公司。
艾森伯格还试图用第二种方式来证明自己的行为是正当的:将所得收入定性为“漏洞赏金”,即发现漏洞的奖励。这就是双方对交易的描述,艾森伯格向 Mango 返还了约 6700 万美元,但保留了剩余的 4700 万美元,以换取不起诉的承诺。这将使其成为历史上最大的漏洞赏金。
我从事网络安全工作已有 15 年,自己也做过一些漏洞赏金搜寻。所以请相信我:漏洞赏金不是这样运作的。
Mango 领导层后来否认了与 Eisenberg 达成的协议,他们理所当然地表示,这笔交易是在胁迫下达成的。法院也没有认真对待“悬赏”框架。这很好,因为小偷只要归还部分赃物,就能突然成为英雄,这种想法会产生危险的诱因。
但这一事件也说明了为什么即使是正规的漏洞赏金计划在网络安全专家中也存在争议。虽然它们在全面的安全方法中占有一席之地,但如果单独使用,它们只能创造一种安全的假象。更糟糕的是,它们可能会产生邪恶的动机和敌意,从而增加风险而不是减轻风险——尤其是对于加密和区块链项目而言。
“追溯性漏洞赏金”还是普通的“勒索”?
许多其他加密货币攻击者在窃取资金后会归还资金,例如 Poly Network 和 Euler Finance 攻击。这是一种独特的加密货币现象,有人称之为“追溯性漏洞赏金”。从模糊的原理上讲,这种想法是攻击者发现了系统中的漏洞,他们拿走的钱在某种程度上是对他们发现的正当奖励。但在实践中,这些事件更像是人质谈判,受害者希望哄骗或迫使攻击者归还资金。
我不赞成黑客劫持金融人质,但作为一名前漏洞赏金猎人,我不能否认这种行为具有某种诗意的正义。我曾多次向有赏金计划的公司发出严重或关键漏洞的警报,但他们却在几个月甚至几年的时间里忽视或忽略了这些风险。我完全可以理解,在这种情况下,年轻或天真的安全研究人员可能会因为自己的知识而感到沮丧,他们可能会像《绝命毒师》中那样,从“白帽”警长变成“黑帽”银行劫匪。
另请参阅:DeFi 需要黑客的帮助才能变得不可攻破 | 观点(2021 年)
一个核心问题是,提供赏金的项目有很多动机尽可能少地、尽可能便宜地支付赏金。显然,这需要付出经济成本,但你会惊讶地发现,一个团队为了保护自己的声誉,经常否认所报告错误的严重性,而让用户继续面临风险。这种否认可以有多种形式,比如宣布错误“超出了赏金的范围”。有时,敏感的开发人员甚至会威胁对那些向他们妥善处理严重错误的研究人员采取法律行动。
对于研究人员来说,投入无数时间寻找“漏洞赏金”,结果却发现被忽略,甚至遭到反驳,这真是令人沮丧。在被忽视的情况下,做一些破坏性的事情,比如窃取大量资金,甚至可能看起来是一种获得结果的合理方式。这就是 Avi Eisenberg 试图将他的盗窃行为定位为“漏洞赏金”背后的扭曲逻辑——损失 4700 万美元对于修复漏洞来说是一个相当大的推动力。
我经常看到区块链项目在很大程度上甚至完全依赖赏金计划和内部监督来确保安全。这只会酿成灾难。
一些赏金猎人的沮丧与漏洞赏金计划的另一个缺点密不可分:他们通常会邀请大量无用的报告。对于每个报告的真正漏洞,一个项目可能会收到数十甚至数百份毫无用处的报告。一个团队可能会在筛选所有废物时忽略高质量的提交。更普遍的是,在漏洞赏金计划的大海里寻找一根针会占用工作人员大量的时间和精力,以至于抵消了赏金计划可能提供的成本节省。
对于区块链项目来说,漏洞赏金在某些方面也具有独特的风险。与 iPhone 应用程序不同,在实际部署之前很难对基于区块链的工具进行全面测试。主流软件项目通常会让漏洞猎人尝试破解软件的预生产版本,但在加密领域,漏洞可能来自系统与其他链上产品的交互。
例如,艾森伯格的 Mango 黑客攻击依赖于价格预言机,在测试环境中很难或不可能模拟。这可以让赏金猎人尝试攻击与真实用户资金相关的系统,并将这些真金白银置于风险之中。
我还担心,很多区块链赏金计划都允许匿名提交,而这在主流网络安全领域非常罕见。有些甚至在未进行身份核查的情况下就发放奖励;也就是说,他们不知道将赏金支付给谁。
另请参阅:将黑客攻击称为漏洞利用可最大限度地减少人为错误 | 观点 (2022)
这带来了一个非常不祥的诱惑:项目的程序员可能会留下漏洞,甚至引入关键漏洞,然后让匿名的朋友“发现”并“报告”这些漏洞。然后,内部人员和漏洞猎人可以分割赏金,让项目损失大笔资金,而没有人会更安全。
你需要的是警长,而不是赏金猎人
尽管如此,漏洞赏金计划在区块链安全中仍然发挥着作用。提供奖励以吸引大量人才来尝试破坏你的系统的基本想法仍然很可靠。但我经常看到区块链项目在很大程度上甚至完全依赖赏金计划和内部监督来确保安全。这是灾难的根源。
毕竟,电影中的赏金猎人经常是道德模糊的“灰帽子”,这是有原因的——想想波巴·费特、克林特·伊斯特伍德的《无名之辈》或《被解救的姜戈》中的金·舒尔茨医生。他们是雇佣兵,只为一次性报酬,而且出了名的对他们正在解决的问题的大局漠不关心。在最极端的情况下,你可以看到艾维·艾森伯格,他们渴望以“漏洞赏金”为幌子,而他们自己才是真正的恶棍。
这就是为什么旧时的赏金猎人最终要向警长汇报,警长对他所保护的人负有长期责任,并确保每个人都遵守规则。在网络安全方面,警长的角色是由专业的代码审查人员扮演的——这些人需要保护公众声誉,无论他们发现什么,他们都会得到报酬。外部公司的审查还可以减轻内部开发人员的错误防御冲动,他们可能会拒绝真正的错误以保护自己的声誉。区块链安全专家通常可以在真正涉及金钱之前预见到那些摧毁 Mango Markets 的金融互动。
需要明确的是,绝大多数漏洞赏金猎人确实在努力做正确的事情。但他们在系统规则中权力太小,因此他们中的一些人最终滥用他们的发现也就不足为奇了。我们不能通过给予 Avi Eisenberg 这样的漏洞利用者“赏金”奖励所暗示的认可印章来使这种行为正常化——真正关心用户安全的项目不应该将其交给大众。
另请参阅:Ogle 抓捕加密货币骗子
