原文標(biāo)題：《 黑客是吧？給你個(gè)成為好人的機(jī)會(huì)：如何靠漏洞賞金談判追回資產(chǎn)？ 》

原文來源： CertiK

自 2020 年 10 月至 2023 年 3 月，Web3.0 領(lǐng)域中在遭受攻擊后仍能收回或部分收回?fù)p失資金的事件共有 25 起。

在這 25 起事件中，被盜資金總計(jì)約 13.5 億美元，其中的 9.92 億美元被返還（73%）。

今年我們都有所耳聞的被盜資金返還事件有Euler Finance、Allbridge 和 Sentiment Protocol，這三個(gè)項(xiàng)目均與攻擊者進(jìn)行了成功的談判。

但其實(shí)這個(gè)情況是處于一個(gè)持續(xù)的灰色地帶中——攻擊者們既不是明確定義中參加漏洞賞金計(jì)劃的白帽黑客，也并非是純粹的盜取資產(chǎn)的黑帽黑客，我們可以將其稱為「灰帽黑客」以作區(qū)分并加以分析。

漏洞的惡意利用在多年來一直困擾著 Web3.0，這些惡意安全事件針對(duì)的目標(biāo)往往是協(xié)議、智能合約和基于軟件的應(yīng)用程序，如自托管錢包，而其結(jié)果也通常是黑客「功成名就」，攜款潛逃。

然而現(xiàn)在已經(jīng)有越來越多的協(xié)議可以與攻擊者成功談判并協(xié)商資金返還。

CertiK 統(tǒng)計(jì)了 2020 年 10 月至 2023 年 3 月中被利用而后又被返還資金的25 個(gè)協(xié)議數(shù)據(jù)：

總計(jì)約 13.5 億美元的資金被盜

總計(jì)約 9.92 億美元 (73%) 的資金被退還

總計(jì)約 3.145 億美元 (23.1%) 的資金被攻擊者保留

其余約 3.9% 的資金在此過程中丟失或被凍結(jié)

2023 年到目前為止，8 個(gè)導(dǎo)致約 2.215 億美元資產(chǎn)被盜的重大漏洞惡意利用事件中有有大約 1.88 億美元（84.8%）被退還。

一些未歸還的資金被保留作為白帽賞金，以引起人們對(duì)協(xié)議漏洞的關(guān)注。

其他未返還的資金的部分情況是源自攻擊者的要求。

而在這 25 個(gè)協(xié)議中，有四個(gè)協(xié)議的資金被全部返還了。

攻擊者以不同的方式處理歸還被盜資金的問題。其中一些歸還了所有被盜資金，而另一些則歸還了部分資金或拒絕歸還。

因這些漏洞利用事件最初的惡意性質(zhì)，以及一些攻擊者在與受害者展開談判后改變主意，我們將這些事件歸類為灰帽情況。

在 Cashio.App 經(jīng)歷了一次被攻擊者盜取 5000 萬美元的事件后，他們最終將資金返還給那些賬戶中不足 10 萬美元的投資者，剩余的錢據(jù)稱被捐給了慈善機(jī)構(gòu)。

Mango Market 的情況較為特殊：攻擊者 Avraham Eisenberg 總計(jì)盜取了該協(xié)議的 1.17 億美元，最后歸還了約 6700 萬美元，但他聲稱他的行為是合法的——「只是一種高利潤(rùn)的交易策略而已」。盡管與 Mango Market 達(dá)成了協(xié)議，但 Avraham Eisenberg 后來仍因策劃對(duì) Mango Market 的攻擊行為而被美國(guó)證券交易委員會(huì)起訴。

在過去的幾年里，Web3.0 貨幣行業(yè)一直遭受著越來越多的漏洞利用和黑客攻擊。但協(xié)議似乎正在試圖與攻擊者們進(jìn)行更深入的談判，以期收回大量被盜資金。

通常情況下，這些談判發(fā)生在公開場(chǎng)合（例如社交媒體或攻擊者與受害者之間的鏈上信息）中——在交易中給匿名黑客留下信息，往往是與他們?nèi)〉寐?lián)系的唯一途徑。

這樣的趨勢(shì)可能表明 Web3.0 行業(yè)正在發(fā)生越來越大的轉(zhuǎn)變，協(xié)議和投資者的風(fēng)險(xiǎn)變得更小，安全性更高，尤其是在項(xiàng)目可創(chuàng)造市場(chǎng)激勵(lì)措施以推動(dòng)攻擊者進(jìn)行談判的情況下。

為了進(jìn)一步探討這種可能性，我們想通過分析這些公開談判及其最終結(jié)果來研究受害者采用的不同談判策略。

我們選擇研究四個(gè)不同的協(xié)議（Poly Network、Allbridge、Euler Finance 和 Sentiment Protocol）的談判過程。之所以選擇這些安全事件，是因?yàn)樗鼈兙鶎儆诖笠?guī)模攻擊事件，而且除了 Poly Network 之外，大部分都在一個(gè)月內(nèi)成功地收回了資金。盡管這四個(gè)協(xié)議使用了不同的策略，但它們都將賞金作為黑客返還資金的激勵(lì)。

Poly Network

2021 年 8 月 10 日，黑客利用 Poly Network 代碼中的一個(gè)漏洞，竊取了超過 12 種不同 Web3.0 貨幣的資金，總損失超過 6.1 億美元。同一天，Poly Network 通過鏈上信息直接聯(lián)系了該黑客，要求他們與之取得聯(lián)系。

最終協(xié)議提出，如果資金被歸還，將給予黑客賞金。Poly Network 還在推特上發(fā)表了一封致黑客的公開信，稱「任何國(guó)家的執(zhí)法部門都會(huì)將此視為重大經(jīng)濟(jì)犯罪，你將會(huì)被追究責(zé)任」。在事件的最后，Poly Network 甚至對(duì)黑客加以贊賞，稱他們「希望將作為歷史上最大規(guī)模的白帽黑客而被銘記」。

但黑客回應(yīng)稱，一開始他還未來得及回復(fù) Poly Network 時(shí)，該協(xié)議就在讓投資者和其他人敦促和指責(zé)他們，而他們其實(shí)并沒有將被盜資金洗錢的打算。不僅如此，在這個(gè)過程里，黑客還在通過交易票據(jù)與 Poly Network 進(jìn)行溝通，表示他們打算先從返還 altcoins 開始，并詢問是否可以將被盜的 USDT 解凍，如果成功解凍，他們將歸還被盜的 USDC。

Poly Network 并未對(duì)該問題進(jìn)行回應(yīng)，這一步應(yīng)該是走對(duì)了，因?yàn)楹诳偷诙炀烷_始向三個(gè) Poly Network 地址歸還資金了。

黑客后來又發(fā)來消息說，他們將提供他們用來歸還資金的多簽名錢包的最終密鑰。

黑客最終歸還了所有被發(fā)送到多重簽名賬戶的被盜資產(chǎn)。

除了價(jià)值 3300 萬美元的 USDT 被 Tether 凍結(jié)外，大部分損失的資金都被返還給了 Poly Network。

禮尚往來之下，Poly Network 向黑客創(chuàng)建的一個(gè)獨(dú)立賬戶支付了 160 個(gè) ETH（約 486,000 美元）的漏洞賞金。但黑客將賞金退回給了 Poly Network，并要求將該筆費(fèi)用分配給那些受影響的投資者。

復(fù)制鏈接【https://heystacks.com/doc/977/polynetwork-and-hacker-communicate】至瀏覽器查看 Poly Network 和黑客之間的完整談判記錄。

Allbridge

2023 年 4 月 1 日，Allbridge 遭受了一次針對(duì)其在 BNB Chain 上 BUSD/USDT 池的攻擊。該項(xiàng)目最初表示，該攻擊只影響那些 BNB Chain 池，但漏洞可能擴(kuò)展到其他池中。為了防止這種情況，Allbridge 停止了他們的橋接平臺(tái)，并為流動(dòng)性資金池運(yùn)營(yíng)商創(chuàng)建了一個(gè)網(wǎng)絡(luò)接口來提取余額。

就像 Poly Network 一樣，在攻擊發(fā)生后不久，Allbridge 宣布將向黑客提供賞金，并補(bǔ)充說如果被盜資金被返還，黑客將免于承擔(dān)任何法律后果。4 月 3 日，該團(tuán)隊(duì)宣布收到了攻擊者的信息，1,500 BNB（約 46.5 萬美元）被返還給了該項(xiàng)目。黑客手中仍保留價(jià)值約 10.8 萬美元的資產(chǎn)。

Allbridge 提到還有另一名黑客使用了與第一個(gè)攻擊者相同的手法，但這個(gè)黑客尚未主動(dòng)與平臺(tái)取得聯(lián)系。Allbridge 敦促第二個(gè)黑客露面并開啟談判，討論返還資金的條件。截至撰稿時(shí)，尚未獲得該事件進(jìn)展的任何消息。

Euler Finance 

Euler Finance黑客攻擊是 2023 年迄今為止發(fā)生的最大規(guī)模漏洞利用事件。

2023 年 3 月 13 日，Euler Finance 資金池遭遇閃電貸攻擊，損失總計(jì)約 1.97 億美元。

如同 Poly Network 和 Allbridge 案例，Euler Finance 表示如果攻擊者歸還剩余資產(chǎn)，會(huì)向攻擊者提供 10% 的賞金。

然而，該項(xiàng)目在談判策略上采取了更激進(jìn)的方式，在發(fā)出賞金聲明的同時(shí)也發(fā)出了警告：如果攻擊者不退還剩余的 90% 的資金，他們將懸賞 100 萬美元獲取有關(guān)攻擊者的信息。盡管有此警告，黑客還是向 Tornado Cash 轉(zhuǎn)移了大約 178 萬美元的被盜資金。

隨后黑客通過鏈上消息與 Euler Finance 進(jìn)行了聯(lián)系。

3 月 21 日，Euler Finance 履行了警告中的行動(dòng)，在攻擊者不再回應(yīng)后發(fā)起了 100 萬美元的賞金懸賞攻擊者信息，四天后，攻擊者選擇將資金返還 Euler 并道歉：

4 月 3 日，Euler Finance 在其推特賬戶上宣布，與黑客談判后他們收回了所有的「可收回資金」。

另外 Euler Finance 還補(bǔ)充表示，由于黑客「做了正確的事」，他們將不再接受可能導(dǎo)致攻擊者被捕的新信息，意味著 100 萬美元的懸賞行動(dòng)到此為止。

Sentiment Protocol

2023 年 4 月 4 日，Sentiment Protocol 遭到攻擊，損失近 100 萬美元。

4 月 5 日，Sentiment Protocol 在其推特賬戶上公布了該漏洞，并暫停了主合約（僅允許提款），以減輕進(jìn)一步資金損失。

Sentiment Protocol 提出與攻擊者進(jìn)行談判，承諾賞金的同時(shí)發(fā)出警告：如果攻擊者在 4 月 6 日之前沒有返還資金，那么原本承諾給他們的「白帽」賞金將變?yōu)閼屹p追捕他們的賞金。與 Allbridge 一樣，該協(xié)議還承諾如果資金返還，他們將不會(huì)對(duì)攻擊者采取法律行動(dòng)：

次日，Sentiment Protocol 向攻擊者提供了 9.5 萬美元的賞金，前提是攻擊者在 4 月 6 日 UTC 8:00 之前歸還資金。

4 月 6 日，Sentiment Protocol 宣布攻擊者已返還 90% 資金。

如何與灰帽黑客談判？

正如在本文四個(gè)案例中看到的那樣，所有協(xié)議都發(fā)布了用以換取被盜資產(chǎn)的賞金。

Euler Finance 和 Sentiment Protocol 均向攻擊者發(fā)出警告（用賞金懸賞攻擊者信息）。Allbridge 和 Sentiment Protocol 還宣布稱如果資金被退回，則不會(huì)對(duì)黑客采取法律行動(dòng)，而 Poly Network 明確表示將聯(lián)系執(zhí)法部門。

在這四個(gè)協(xié)議中，其中兩個(gè)的「可收回」資金被全額返還，Allbridge 仍在與第二個(gè)黑客進(jìn)行談判。Sentiment Protocol 則是在經(jīng)過兩天的談判后成功收回了 90% 的資金。

由此我們可以看出，在與攻擊者的談判中，賞金是一個(gè)非常有效的手段。然而其也有一定的潛在風(fēng)險(xiǎn)。例如攻擊者拿到賞金后不履行承諾，而繼續(xù)泄露數(shù)據(jù)或再次攻擊。另外，一些國(guó)家和地區(qū)可能會(huì)對(duì)支付賞金的行為采取法律措施。

因此，組織需要對(duì)風(fēng)險(xiǎn)和合法性進(jìn)行評(píng)估，并制定有效的策略以確保安全地進(jìn)行贖金支付并盡快恢復(fù)被盜的資產(chǎn)。 想要了解更多最新 Web3 安全動(dòng)態(tài)？歡迎訪問 CertiK 官方公眾號(hào)，或于底部對(duì)話框留言來咨詢，更好地保護(hù)項(xiàng)目及資產(chǎn)！

原文鏈接

熱點(diǎn)：項(xiàng)目