100% 赞同 Zach 的说法,如果项目方只是看结果来给赏金的话(we are announcing a bounty of $5M for relevant information that results in the successful identification and arrest of the hacker(s).),确实没有动力跟进。我们历史协助的有好结果的,一定是把跟进动力问题积极且明确解决好的…
一个很简单的算法:看历史上被盗案例,明眼人都清楚有 Happy Ending 的比例很低,追踪服务的投入成本不确定很大,比如威胁情报合作网络资源协调、被盗用户沟通、执法沟通、调查取证、证据固定、谈判推进、分析报告等等,如果没有偏前置的费用或者足够深的合作资源做保障,是难以持续推进的…
即使有了这些保障,一个案件能 Happy Ending 几乎只有两种情况,黑客有良心自己主动转白帽,黑客被迫转“白帽”…否则,只能是长远似乎永无尽头的跟进了,猫捉老鼠游戏。看看 Bitfinex 被盗近 12 万枚比特币大案,差不多时隔 6 年才抓获真凶,然后是漫长的司法流程…如果没记错,今年应该是差不多收尾了…这套流程下来,这么多年,都熬死多少项目方和安全公司了…你有长跑的决心吗?
大家都很忙,从优先级角度,我们更需要及时确保我们现有商业客户及合作网络的安全性,避免安全建设从事前变成了事后。
让我换位思考?我已经换位思考无数次了,现在轮到一些人换位思考了…
当然,我非常愿意帮我的朋友们,他们也是此次 Cetus 被盗案的受害者,虽然我此前发推文问受害者能不能给我赏金,但其实我只是表达一种情绪,费用我只会找项目方要,而不是这些受害者(尤其是我的朋友们)。如果到时候要打赏我倒是也不介意…
有一进步发现了,先这样。
https://x.com/evilcos/status/1926099707660476866
一个很简单的算法:看历史上被盗案例,明眼人都清楚有 Happy Ending 的比例很低,追踪服务的投入成本不确定很大,比如威胁情报合作网络资源协调、被盗用户沟通、执法沟通、调查取证、证据固定、谈判推进、分析报告等等,如果没有偏前置的费用或者足够深的合作资源做保障,是难以持续推进的…
即使有了这些保障,一个案件能 Happy Ending 几乎只有两种情况,黑客有良心自己主动转白帽,黑客被迫转“白帽”…否则,只能是长远似乎永无尽头的跟进了,猫捉老鼠游戏。看看 Bitfinex 被盗近 12 万枚比特币大案,差不多时隔 6 年才抓获真凶,然后是漫长的司法流程…如果没记错,今年应该是差不多收尾了…这套流程下来,这么多年,都熬死多少项目方和安全公司了…你有长跑的决心吗?
大家都很忙,从优先级角度,我们更需要及时确保我们现有商业客户及合作网络的安全性,避免安全建设从事前变成了事后。
让我换位思考?我已经换位思考无数次了,现在轮到一些人换位思考了…
当然,我非常愿意帮我的朋友们,他们也是此次 Cetus 被盗案的受害者,虽然我此前发推文问受害者能不能给我赏金,但其实我只是表达一种情绪,费用我只会找项目方要,而不是这些受害者(尤其是我的朋友们)。如果到时候要打赏我倒是也不介意…
有一进步发现了,先这样。
https://x.com/evilcos/status/1926099707660476866
X (formerly Twitter)
Cos(余弦)😶🌫️ (@evilcos) on X
一个很简单的算法:看历史上被盗案例,明眼人都清楚有 Happy Ending 的比例很低,追踪服务的投入成本不确定很大,比如威胁情报合作网络资源协调、被盗用户沟通、执法沟通、调查取证、证据固定、谈判推进、分析报告等等,如果没有偏前置的费用或者足够深的合作资源做保障,是难以持续推进的…
