4月18日，Avi Eisenberg因其在2022年10月攻击Mango Markets而被判欺诈罪名成立。这起案件受到特别关注，因为Eisenberg迅速承认实施了1.1亿美元的攻击，并将其战术描述为一种“高效益的交易策略”，依赖于他对“代码即法律”的解释。Eisenberg还试图以第二种方式证明自己的行为：将所得款项框定为“漏洞赏金”，或者是对发现漏洞的奖励。Eisenberg向Mango归还了约6700万美元，但保留了剩下的4700万美元，以换取不起诉承诺。这本来可能成为有史以来最大的漏洞赏金。

然而，Mango领导层后来否认了与Eisenberg的协议，理所当然地表示该协议是在胁迫下达成的。法院也没有认真对待“赏金”的说法。这是件好事，因为窃贼只需归还部分赃物就突然成为英雄的想法会产生危险的激励。但这起事件也说明了即使是合适的漏洞赏金在网络安全专家中也备受争议。虽然漏洞赏金在综合安全方法中有其作用，但如果单独使用，可能只会制造一种安全的错觉。更糟糕的是，它们可能会产生扭曲的动机和不良后果，增加风险，而非减少风险，特别是对于加密和区块链项目。

许多其他加密攻击者在攻击Poly Network和Euler Finance后也归还了资金。有人称之为“追溯性漏洞赏金”的独特加密现象。大致原则上，这个想法是攻击者发现了系统的漏洞，并且他们拿走的钱在某种程度上是他们发现的公正奖励。然而，在实践中，这些事件更像是人质谈判，受害者希望哄骗或施压攻击者归还钱财。

漏洞赏金还存在另一个问题：它们通常会引起大量并不实用的提交。对于每个真正报告的漏洞，项目可能会收到数十甚至数百个无用的报告。一个团队可能会在糟糕的报告中错过高质量的提交。此外，在漏洞赏金的海量提交中寻找问题，可能会花费团队大量时间和精力，抵消了赏金计划所带来的成本节约。

总的来说，漏洞赏金在区块链项目中也存在一些独特的风险。与iPhone应用程序不同，很难在部署之前完全测试基于区块链的工具。此外，我还担心很多区块链漏洞赏金项目允许匿名提交，这在主流网络安全中是非常罕见的。有些甚至在不进行身份验证的情况下分发奖励。

尽管漏洞赏金仍然在区块链安全中发挥着作用，但我认为项目不能将安全完全交给漏洞赏金程序和内部监督。在网络安全术语中，治安官的角色由专业的代码审查人员扮演。他们有公开的声誉需要保护，无论他们发现了什么，都会得到报酬。外部公司的审查也可以减轻内部开发人员拒绝真正的漏洞的错误防御冲动。