上個(gè)月，暗網(wǎng)上出現(xiàn)了一個(gè)名為“真正交易”（“真正交易”）的黑市，它的主要業(yè)務(wù)是向黑客兜售零日攻擊手段。類(lèi)似于絲綢之路（SilkRoad）及其大量擁躉，“真正交易”使用Tor匿名技術(shù)加密連接，交易則使用比特幣，以隱藏買(mǎi)家、賣(mài)家、管理員的身份。目前市面上的其它網(wǎng)站只售賣(mài)基本的低級(jí)黑客工具以及泄露的財(cái)務(wù)信息，而“真正交易”的組建者則表示，希望吸引高端黑客在這里售賣(mài)零日漏洞、源代碼，甚至提供黑客雇傭服務(wù)。這些商品都會(huì)很吃香，不過(guò)在一些情況下，它們都是獨(dú)家售賣(mài)，并且是一次性銷(xiāo)售。

來(lái)自該網(wǎng)站匿名管理員的一條信息中寫(xiě)道：

“歡迎，我們建立該網(wǎng)站的最初目的是組建一個(gè)代碼市場(chǎng)，在這里，購(gòu)買(mǎi)者可以獲得稀有的信息和代碼。并且，在過(guò)程中可以完全避免詐騙和騷擾，享受真正的代碼、真正的信息和真正的產(chǎn)品。”

目前為止，該市場(chǎng)還沒(méi)有提供很多可供銷(xiāo)售的漏洞，然而現(xiàn)有的少數(shù)幾個(gè)令人印象深刻，比如一個(gè)標(biāo)價(jià)為用比特幣支付的價(jià)值17000美元的漏洞利用工具。它宣稱(chēng)自己是一種入侵蘋(píng)果iCloud賬戶(hù)的新策略：通過(guò)一個(gè)跳板賬戶(hù)發(fā)起惡意連接，可以訪(fǎng)問(wèn)任意其它賬戶(hù)。該商品在描述中寫(xiě)道，如果買(mǎi)家感興趣，可以安排演示，通過(guò)該方法入侵買(mǎi)家指定的任意賬戶(hù)。

其它商品還有：入侵WordPress多站點(diǎn)配置文件的技術(shù)、針對(duì)安卓平臺(tái)WebView股票瀏覽器的漏洞、針對(duì)Windows XP、Windows Vista、Windows 7平臺(tái)上IE瀏覽器的攻擊（價(jià)格為8000美元，比特幣支付）。賣(mài)家寫(xiě)道：這是兩個(gè)月前通過(guò)Fuzzing技術(shù)找到的零日漏洞，隨時(shí)有可能被發(fā)現(xiàn)，除非報(bào)酬很高，否則不會(huì)隨便說(shuō)。賣(mài)家還表示，可以利用通常方法做演示，如果有意請(qǐng)私信，不要浪費(fèi)時(shí)間。Fuzzing是一種通過(guò)發(fā)送隨機(jī)垃圾流量來(lái)測(cè)試對(duì)方什么時(shí)候會(huì)崩潰的漏洞探測(cè)技術(shù)。

蘋(píng)果、WordPress、谷歌、微軟在該網(wǎng)站受到媒體曝光后還沒(méi)有給予評(píng)論。

需要說(shuō)明的是，上面列出的漏洞都沒(méi)有被驗(yàn)證是否真實(shí)可行，研究人員也沒(méi)有什么合法的方式來(lái)測(cè)試它們。價(jià)格為17000美元的iCloud漏洞看上去特別誘人，因?yàn)樗墓δ馨ǐ@取用戶(hù)的全部敏感信息，包括Email和照片，價(jià)格也并不貴。舉例來(lái)比較的話(huà)，該商品的賣(mài)家表示2012年的一個(gè)iOS漏洞可以賣(mài)到最高25000美元。2013年，紐約時(shí)報(bào)報(bào)道，這個(gè)標(biāo)價(jià)為25000美元的漏洞被以50000美元的價(jià)格賣(mài)給了其它國(guó)家。

“真正交易”官方也給出了針對(duì)假貨的應(yīng)對(duì)措施，類(lèi)似于絲綢之路，該網(wǎng)站的交易模式是第三方托管，交易中的比特幣被放置在第三方，如果賣(mài)家不發(fā)貨，買(mǎi)家可以獲得退款。和大多數(shù)暗網(wǎng)市場(chǎng)不同，“真正交易”還提供一種名為多重簽名的交易技術(shù)。這意味著托管著比特幣的第三方域名同時(shí)被買(mǎi)家、賣(mài)家和網(wǎng)站管理員所控制，在買(mǎi)家確認(rèn)收貨時(shí)，至少需要三方中的兩方簽名同意，這給了網(wǎng)站方面一定的仲裁權(quán)。不過(guò)研究人員目前還不清楚網(wǎng)站方面如何進(jìn)行仲裁。在很多情況下，“真正交易”網(wǎng)站的管理員可能會(huì)親自測(cè)試有爭(zhēng)議的漏洞，以確認(rèn)買(mǎi)家是否被騙。

顧客經(jīng)常擔(dān)心市場(chǎng)本身會(huì)竊取他們的比特幣，“真正交易”網(wǎng)站在解決這方面的疑慮方面做得也比現(xiàn)有網(wǎng)站要好。“真正交易”根據(jù)交易額大小收取3%或0.1個(gè)比特幣的手續(xù)費(fèi)，但并不需要用戶(hù)將比特幣存儲(chǔ)在自身控制的比特幣賬戶(hù)下。因此，它沒(méi)辦法像之前的Sheep Marketplace和Evolution這些交易網(wǎng)站一樣卷錢(qián)跑路。之前發(fā)生的幾個(gè)案例里，

網(wǎng)站跑路卷走了數(shù)百萬(wàn)比特幣。網(wǎng)站FAQ中寫(xiě)道，我們沒(méi)有比特幣錢(qián)包，我們不想要你的比特幣，并可以保證我們不會(huì)在未來(lái)的某一天帶著你的比特幣跑路。

像大多數(shù)暗網(wǎng)市場(chǎng)一樣，“真正交易”網(wǎng)站的運(yùn)營(yíng)方身份是一個(gè)謎。網(wǎng)站的管理層并沒(méi)有立即響應(yīng)研究者的采訪(fǎng)請(qǐng)求，創(chuàng)建人將自己描述成信息安全領(lǐng)域的專(zhuān)家，專(zhuān)注于銷(xiāo)售零日漏洞。在接受暗網(wǎng)博客DeepDotWeb采訪(fǎng)時(shí)，網(wǎng)站管理層在Q&A中表示，他們由四個(gè)人組成，每個(gè)人在信息安全領(lǐng)域都有很深的經(jīng)驗(yàn)。

“我們對(duì)于傳統(tǒng)的未加密互聯(lián)網(wǎng)上的零日漏洞代碼、數(shù)據(jù)庫(kù)有很深的經(jīng)驗(yàn)，但問(wèn)題在于，這方面90%的賣(mài)家都是騙子。技術(shù)功底深厚的買(mǎi)家總是能夠通過(guò)商品描述信息和賣(mài)家演示判別出騙子，但有些賣(mài)家非常聰明狡猾。因此我們決定開(kāi)發(fā)一個(gè)相對(duì)來(lái)說(shuō)可信的網(wǎng)站，在提供防騙功能的同時(shí)保持高度的匿名性。”

“真正交易”在將這種灰色經(jīng)濟(jì)帶到互聯(lián)網(wǎng)上方面并非首創(chuàng)。一個(gè)名為WabiSabiLabi的網(wǎng)站在2007年開(kāi)始運(yùn)行，目標(biāo)是成為銷(xiāo)售漏洞的eBay。但由于賣(mài)家很難在不完全向買(mǎi)家展示漏洞本身的情況下提供可信的演示，該網(wǎng)站迅速垮掉了。盡管提供了多簽名保護(hù)和第三方托管服務(wù)，“真正交易”很有可能會(huì)面對(duì)同樣的問(wèn)題。

不像零日漏洞行業(yè)里的其它成員，“真正交易”并不會(huì)遇到道德或法律方面的障礙。比如法國(guó)的黑客公司Vupen聲稱(chēng)自己只向北約成員國(guó)出售零日漏洞。近年來(lái)，零日漏洞銷(xiāo)售已經(jīng)稱(chēng)為地下市場(chǎng)的重要交易項(xiàng)目，政府的情報(bào)和執(zhí)法機(jī)構(gòu)往往是出價(jià)最高的買(mǎi)家。“真正交易”采取的Tor加密和賣(mài)家匿名策略可能會(huì)將政府方面的買(mǎi)家拒之門(mén)外，但這種匿名性相反地會(huì)吸引一些網(wǎng)絡(luò)罪犯或受雇于獨(dú)裁政權(quán)的黑客。

“真正交易”屬于不合法網(wǎng)站，它還銷(xiāo)售洗錢(qián)服務(wù)、被盜賬戶(hù)。買(mǎi)家可以自助選購(gòu)大量的不合法商品，零日漏洞只屬于該網(wǎng)站提供的LSD、安非他明、被盜賬戶(hù)項(xiàng)目中的特色商品。

暗網(wǎng)經(jīng)濟(jì)正在向發(fā)展成為真正的、非法的自由市場(chǎng)步步邁進(jìn)，“真正交易”只是其中的一個(gè)代表。盡管絲綢之路也容忍賣(mài)家在網(wǎng)站上出售一些簡(jiǎn)單的黑客工具，它還是基本執(zhí)行了“無(wú)受害人”策略的。

“真正交易”沒(méi)有這一類(lèi)規(guī)范。它只包含兩條規(guī)則，其一，禁止兒童色情；其二，禁止"doxing"，也就是發(fā)布特定用戶(hù)的個(gè)人信息。但只要這種零日漏洞的銷(xiāo)售保持匿名的形式，個(gè)人信息遲早成為交易中的一環(huán)。