获集体打Call，一文读懂samczsun推出的「Security Alliance」

原文作者：Frank，Foresight News

2 月 14 日晚间，Paradigm 安全主管 samczsun 官宣发起白帽黑客安全港计划「Security Alliance」，迅速在加密世界引起波澜，Uniswap 等头部协议与慢雾科技、OpenZeppelin 等业内安全机构，以及 Messari 联创兼 CEO Ryan Selkis 等知名人士纷纷互动并打 Call 支持。

作为 Web3 安全领域最负盛名的顶级白帽黑客，samczsun 此番推出的所谓白帽黑客安全港计划「Security Alliance」究竟是什么，具体要做哪些事情，又可能会对加密行业和 Web3 安全领域产生哪些影响？

「Security Alliance」是什么？

首先词如其名，Security Alliance 的英文直译是安全联盟，简单理解就是致力于网络安全的公益联盟组织：

Security Alliance 组建了一支由网络安全领域最优秀的团队组成的团队，通过 SEAL 911 和 Wargames 等举措来帮助确保 DeFi 的安全。

按照 samczsun 披露的信息，早在 2022 年 8 月跨链互操作性协议 Nomad 遭到攻击时（Foresight News 注，Nomad 事件损失金额达 1.9 亿美元），他就和 a16z crypto 的安全团队合作参与了对黑客的识别分析。

在这个过程中，他们合作帮助 Nomad 项目从几个白帽黑客那里恢复了高达 3880 万美元的资金——这些白帽黑客故意抢先抽走资金，以保护资金免受攻击者的影响，而这也构成了最早的 Security Alliance 组织雏形与运行理念。

因为白帽黑客往往是第一个注意到或收到漏洞预警的人，这其实也是 samczsun、慢雾、PeckShield 等我们所熟知的安全研究人员 / 机构的 X 日常推文内容。

但问题在于，由于白帽黑客救援的法律模糊性，许多技术更成熟、具备白帽意愿的开发人员和安全研究人员无法提供帮助：

要么是因为工作原因不被允许，要么是其他因素的顾虑，在此背景之下，如果能有一个法律框架，可以让白帽用行动来体现他们的善意，那么更多的人就可以参与进来，Nomad 事件就是一个典型的例子。

综上，samczsun 才决定建立一个能够让安全人员无后顾之忧、且更快更好针对安全事件进行响应的相关组织，于是经过一年多的努力，Security Alliance 诞生——「消除可能阻止白帽黑客们实时保护我们的协议的障碍，赋予安全研究人员权力，这样如果其他一切努力都失败了，白帽黑客就可以作为最后一道防线」。

简言之，Security Alliance 旨在为白帽黑客提供法律保护框架，并尽快通知易受攻击系统的所有者、提供攻防演练环境和支持，目前 Security Alliance 已在 GitHub 发布协议草案，并开放社区意见征集，为期 1 个月，至 2024 年 3 月 14 日结束。

官网显示，Security Alliance 拥有 50 多个捐助者和合作伙伴，包括 Paradigm、以太坊基金会、a16z crypto、Vitalik Buterin、Filecoin 基金会、Coinbase、Dragonfly、Framework、Electric Capital 等，阵容堪称顶配。

三个主要产品 / 服务

目前 Security Alliance 列出的主要产品 / 服务主要有 3 个：白帽安全港协议（Whitehat Safe Harbor Agreement）、SEAL 911、SEAL Wargames。

其中加密研究员 @lex_node 与 Delphi Labs 帮助制定了安全港协议，此外还计划在今年发布更多配套举措。

白帽安全港协议：白客操作规范

如上文所示，Security Alliance 作为一个中立的公益平台，汇集了来自加密领域许多不同赛道的顶级专家，近乎形成了一个网络，可以访问整个加密生态系统，以找到任何专业领域的最佳人才，帮助执行计划。

基于此，白帽安全港协议就是专门针对主动攻击事件的一个综合框架，可以理解为一个「白帽安操作规范」，在这个框架中，协议可以为在主动攻击事件期间帮助恢复资产的白帽黑客提供法律保护。

也就是说它类似于漏洞赏金，如果协议在主动攻击事件发生之前采用了安全港协议，白帽黑客将清楚地了解自己可以如何在潜在的救援中采取行动，譬如：

哪些资产在协议范围内（例如特定地址的任何 ERC 20 代币）？

成功的白帽救援将获得什么奖励（例如 10% 的获救资金，或上限为 100 万美元）？

获救的资金应退还至何处（例如特定的多签地址）？