作为 Web3 安全领域最负盛名的顶级白帽黑客，samczsun 此番推出的所谓白帽黑客安全港计划「Security Alliance」究竟是什么，具体要做哪些事情，又可能会对加密行业和 Web3 安全领域产生哪些影响？

  首先词如其名，Security Alliance 的英文直译是安全联盟，简单理解就是致力于网络安全的公益联盟组织：

  在这个过程中，他们合作帮助 Nomad 项目从几个白帽黑客那里恢复了高达 3880 万美元的资金——这些白帽黑客故意抢先抽走资金，以保护资金免受攻击者的影响，而这也构成了最早的 Security Alliance 组织雏形与运行理念。

  因为白帽黑客往往是第一个注意到或收到漏洞预警的人，这实际上也是 samczsun、慢雾、PeckShield 等我们所熟知的安全研究人员 / 机构的 X 日常推文内容。

  但问题在于，由于白帽黑客救援的法律模糊性，许多技术更成熟、具备白帽意愿的研发人员和安全研究人没办法提供帮助：

  要么是因为工作原因不被允许，要么是其他因素的顾虑，在此背景之下，如果能有一个法律框架，可以让白帽用行动来体现他们的善意，那么更多的人就可以参与进来，Nomad 事件就是一个典型的例子。

  综上，samczsun 才决定建立一个能够让安全人员无后顾之忧、且更快更好针对安全事件进行响应的相关组织，于是经过一年多的努力，Security Alliance 诞生——「消除可能阻止白帽黑客们实时保护我们的协议的障碍，赋予安全研究人员权力，这样如果其他一切努力都失败了，白帽黑客就可当作最后一道防线」。

  简言之，Security Alliance 旨在为白帽黑客提供法律保护框架，并尽快通知易受攻击系统的所有者、提供攻防演练环境和支持，目前 Security Alliance 已在 GitHub 发布协议草案，并开放社区意见征集，为期 1 个月，至 2024 年 3 月 14 日结束。

  其中加密研究员 @lex_node 与 Delphi Labs 帮助制定了安全港协议，此外还计划在今年发布更多配套举措。

  如上文所示，Security Alliance 作为一个中立的公益平台，汇集了来自加密领域许多不同赛道的顶级专家，近乎形成了一个网络，可以访问整个加密生态系统，以找到任何专业领域的最佳人才，帮助执行计划。

  基于此，白帽安全港协议就是专对于主动攻击事件的一个综合框架，能够理解为一个「白帽安操作规范」，在这个框架中，协议可以为在主动攻击事件期间帮助恢复资产的白帽黑客提供法律保护。

  也就是说它类似于漏洞赏金，如果协议在主动攻击事件发生之前采用了安全港协议，白帽黑客将清楚地清楚自己可以如何在潜在的救援中采取行动，譬如：

  哪些资产在协议范围内（例如特定地址的任何 ERC20 代币）？成功的白帽救援将获得什么奖励（例如 10% 的获救资金，或上限为 100 万美元）？获救的资金应退还至何处（例如特定的多签地址）？

  这就等于白帽黑客可以直观明白自己的操作边界、行为准则以及奖励标准，获得法律保障，当然如果白帽决定进行白帽救援，他们必遵循协议中规定的流程。

  SEAL 911：7×24 紧急热线」的产品形式是一个 Telegram 机器人，简单来看，它可以视为

  试想一下，如果某天你率先发现了针对某协议的链上攻击线索，在这种紧急状况时，时间就是金钱，但你可能很难第一时间知道向谁求助或进行披露提醒，尤其是怎么第一时间通知到官方人员。

  而 SEAL 911 就是提供这样一个通道，用户、研发人员和其他需要获得紧急安全建议、帮助披露关键漏洞或简单地与其他研究人员同步进展的用户，能够正常的使用该 Telegram 机器人与经过仔细审查的专家志愿者团队联系。

  随后 SEAL 911 团队将对请求进行分类并直接提供帮助，或将其路由到正确的联系点。按照 samczsun 的说法，在过去的 6 个月中，SEAL 911 已经帮助中断、拦截和纠正了几个黑客攻击，并帮助了许多有其他安全问题的人。

  「SEAL Wargames」，官方定位是「红色团队演习」，简单理解就是

  因为许多研发人员可能以前从未经历过安全事件的高强度环境，这使他们很难保持专注和高效，因为每秒钟都可能意味着被攻击者损失数百万美元。

  ，且包括两个阶段：桌面演练，SEAL Chaos 团队与项目研发人员共同制定假设的攻击场景，并记录潜在的弱点；模拟攻击，SEAL Chaos 团队利用测试网络上的漏洞，挑战项目研发人员，分拣不同类别的漏洞，并进行修复；

  因此如果一个项目被黑需要应急，或者需要提前红队演练以应对极端情况，都能够正常的使用该工具。

  作为 Paradigm 研究合伙人兼安全主管，samczsun 专注于 Paradigm 的投资组合公司以及对安全和相关主题的研究。

  据不完全统计，过去几年，Samczsun 陆续通过直接示警，至少帮助数十个项目提前发现相关漏洞，避免了数亿美元的损失，包括 SushiSwap、ENS 等。

  如果按时间线梳理，会发现 samczsun 在 Web3 安全上的开源贡献是一脉相承的：

  2022 年 9 月，samczsun 开发并上线以太坊地址标记及搜索网站 Ethereum Tags Database，并表示 Ethereum Tags Database 可拿来标记以太坊地址，任何人都可以为之做出贡献，并按地址、标签（使用通配符）搜索；

  我们常说，「Web3 世界是技术人才和黑客的天堂」，尤其是 2020 年的 DeFi 盛夏以来，Web3 世界的安全风险就像是一场不对称的单向猎杀，对黑客而言无疑是取之不尽的免费提款机，而对项目方和普通用户而言，更像是一把不知何时会落下的「达摩克里斯之剑」。

  ，以确定漏洞并准备有效的响应。至少就目前的加密领域而言，这已经是一套堪称当下最完善的 Web3 安全解决方案，至于能否让大家在穿越加密黑暗森林时少一点残酷，拭目以待。