ETH Rangers 計畫回顧

2024 年底，以太坊基金會（Ethereum Foundation）與 Secureum、The Red Guild 以及安全聯盟（Security Alliance, SEAL）共同啟動了 ETH Rangers 計畫，這是一項旨在為在以太坊生態系統中從事公共物品安全工作的個人提供津貼的倡議。

該計畫的目標非常明確：資助旨在增強以太坊生態系統韌性的獨立工作，並表彰那些在對整個以太坊有益的重要安全工作中展現出卓越貢獻記錄的人。

隨著為期六個月的 ETH Rangers 計畫圓滿結束，我們希望分享 17 位津貼獲得者的工作成果。他們的產出範圍令人印象深刻，涵蓋了從漏洞研究和安全工具開發，到教育、威脅情報以及事件響應等各個領域。

在所有獲獎者的倡議中，綜合成果包括：

這些 ETH Rangers 計畫的成果證明了一個現實：保護去中心化網絡需要去中心化的防禦。

從協議層級的漏洞研究到全球開發者教育，這些獨立研究員構建了基礎設施，將安全效應擴散到整個生態系統。

專案亮點

SunSec – DeFiHackLabs

SunSec 與 DeFiHackLabs 社群交付了大量的安全教育和工具開發工作。在津貼期間，DeFiHackLabs：

這裡的社群活化規模非常顯著。DeFiHackLabs 扮演了倍增器的角色，將一份津貼轉化為觸及數百名安全研究員的教育產出。

Ketman Project – 北韓 IT 勞工調查

一位獲獎者利用津貼建立並擴展了 Ketman Project，專注於發現並驅逐以虛假身份滲透區塊鏈專案的北韓（DPRK）IT 勞工。

在津貼期間，他們：

這項工作直接應對了當前以太坊生態系統面臨的最緊迫的操作安全威脅之一。

Nick Bax – 事件響應與威脅情報

Nick Bax 在多個戰線上做出了貢獻，主要透過 SEAL 911 事件響應、北韓威脅緩解以及公眾意識提升。

Guild Audits – 非洲及其他地區的安全教育

Guild Audits 舉辦了密集的智能合約安全訓練營，培訓下一代以太坊安全研究員。

Guild Audits 智能合約安全訓練營的能力建設影響深遠，在歷史上以太坊安全社群參與度較低的地區，建立了一個人才輸送管道。

Palina Tolmach – Kontrol：易用的形式化驗證

Runtime Verification 的 Palina Tolmach 致力於改進 Kontrol（一種用於以太坊智能合約的形式化驗證工具），使該工具對開發者和安全研究員更易於使用。

交付的主要 Kontrol 改進包括：

所有這些工作都在 github.com/runtimeverification/kontrol 開源，改善了所有安全研究員的形式化驗證工具環境。

以太坊執行客戶端 DoS 研究

一個研究團隊開發了一個測試框架，用於系統地評估以太坊執行客戶端在訊息洪水阻斷服務（DoS）攻擊下的穩健性。

透過測試所有五個主要的執行客戶端（Geth、Besu、Erigon、Nethermind 和 Reth），他們在不同的網絡協議層發現了 14 個漏洞。這些漏洞可能導致：

研究結果強調，沒有任何執行客戶端能完全免疫訊息洪水攻擊，需要進一步努力開發有效的應對措施（例如自適應速率限制）。測試框架和結果已與以太坊基金會的協議安全團隊共享，以供進一步的客戶端安全研究參考。

其他津貼獲得者

由於篇幅有限，我們無法對所有獲獎專案進行詳細介紹。其餘獲獎者在廣泛的安全相關公共物品領域做出了貢獻：

展望未來

ETH Rangers 計畫旨在支持那些為以太坊從事雖然不顯眼但至關重要的安全工作的人。

他們的貢獻多樣性反映了「公共物品安全」在實踐中所涵蓋的廣度。這不僅僅是發現漏洞；還包括構建工具、培訓人才、記錄知識、響應事件，以及讓生態系統更具韌性。

透過支持公共物品安全工作，該計畫將新的工具、研究和情報整合到更廣泛的以太坊生態系統中。這種去中心化的防禦方法為全球的開發者和使用者提供了更強大的基礎。

我們感謝所有 17 位津貼獲得者的貢獻，也感謝 Secureum、The Red Guild 和 Security Alliance 在執行 ETH Rangers 計畫中的合作。