这不仅是加密货币行业经典的安全价值计算问题，其他行业也有一样的困境。其他行业先不管，因为许多都有成熟法律来约束管控。加密货币行业，比如 DeFi 场景，宣扬所谓的 Code is Law 精神，据我所知，还没有任何现有法律是直接可以应用在通过智能合约漏洞获利这种场景的。 许多案例都是参考过去的相关性法律条文来做出的相关解释并做出可能的执法行动。 不少玩安全的人是不信任项目方会大方给赏金的，于是就会采取直接黑掉的方式，把资金先卷走，然后再选择是否谈判拿到足额赏金。这种行为要是在其他行业，入侵、卷走资金，立马就是刑事案件，谈判后谅解，想得过美。但在 DeFi 场景下，没有直接的法律条文来解释，可操作空间可能就很大，不是说这就完全是法外之地，就看利益相关人较真与否了...可操作空间就是通过较真操作出来的。 非常微妙。漏洞赏金设计机制如何解决黑客对项目方、漏洞赏金平台的信任问题，赏金是否满足自己的期望，是否可以真的免责，这个挑战挺大的，过程可能也没那么轻松。于是有的黑客直接就采用 Code is Law 这种精神指导下的最短路径，准备独立环境、挂上代理、Tornado Cash 出金 gas，发送利用 tx 上链，获利转移...选择谈判与否，如果谈，拿 10% 甚至更多的退回赏金。你看，GMX 漏洞赏金其实是给的上限足够高的，500 万美金。但是结果上，黑客选择了是先黑掉再说的这条也许是最短最粗暴的路径...并选择了转白帽，同样拿走 500 万美金赏金。 我及慢雾不会走这条路线，个人选择罢了，没什么对错，但只要转白帽，我个人都会点赞。