上個月，暗網(wǎng)上出現(xiàn)了一個名為“真正交易”（“真正交易”）的黑市，它的主要業(yè)務(wù)是向黑客兜售零日攻擊手段。類似于絲綢之路（SilkRoad）及其大量擁躉，“真正交易”使用Tor匿名技術(shù)加密連接，交易則使用比特幣，以隱藏買家、賣家、管理員的身份。目前市面上的其它網(wǎng)站只售賣基本的低級黑客工具以及泄露的財務(wù)信息，而“真正交易”的組建者則表示，希望吸引高端黑客在這里售賣零日漏洞、源代碼，甚至提供黑客雇傭服務(wù)。這些商品都會很吃香，不過在一些情況下，它們都是獨(dú)家售賣，并且是一次性銷售。

來自該網(wǎng)站匿名管理員的一條信息中寫道：

“歡迎，我們建立該網(wǎng)站的最初目的是組建一個代碼市場，在這里，購買者可以獲得稀有的信息和代碼。并且，在過程中可以完全避免詐騙和騷擾，享受真正的代碼、真正的信息和真正的產(chǎn)品。”

目前為止，該市場還沒有提供很多可供銷售的漏洞，然而現(xiàn)有的少數(shù)幾個令人印象深刻，比如一個標(biāo)價為用比特幣支付的價值17000美元的漏洞利用工具。它宣稱自己是一種入侵蘋果iCloud賬戶的新策略：通過一個跳板賬戶發(fā)起惡意連接，可以訪問任意其它賬戶。該商品在描述中寫道，如果買家感興趣，可以安排演示，通過該方法入侵買家指定的任意賬戶。

其它商品還有：入侵WordPress多站點配置文件的技術(shù)、針對安卓平臺WebView股票瀏覽器的漏洞、針對Windows XP、Windows Vista、Windows 7平臺上IE瀏覽器的攻擊（價格為8000美元，比特幣支付）。賣家寫道：這是兩個月前通過Fuzzing技術(shù)找到的零日漏洞，隨時有可能被發(fā)現(xiàn)，除非報酬很高，否則不會隨便說。賣家還表示，可以利用通常方法做演示，如果有意請私信，不要浪費(fèi)時間。Fuzzing是一種通過發(fā)送隨機(jī)垃圾流量來測試對方什么時候會崩潰的漏洞探測技術(shù)。

蘋果、WordPress、谷歌、微軟在該網(wǎng)站受到媒體曝光后還沒有給予評論。

需要說明的是，上面列出的漏洞都沒有被驗證是否真實可行，研究人員也沒有什么合法的方式來測試它們。價格為17000美元的iCloud漏洞看上去特別誘人，因為它的功能包括獲取用戶的全部敏感信息，包括Email和照片，價格也并不貴。舉例來比較的話，該商品的賣家表示2012年的一個iOS漏洞可以賣到最高25000美元。2013年，紐約時報報道，這個標(biāo)價為25000美元的漏洞被以50000美元的價格賣給了其它國家。

“真正交易”官方也給出了針對假貨的應(yīng)對措施，類似于絲綢之路，該網(wǎng)站的交易模式是第三方托管，交易中的比特幣被放置在第三方，如果賣家不發(fā)貨，買家可以獲得退款。和大多數(shù)暗網(wǎng)市場不同，“真正交易”還提供一種名為多重簽名的交易技術(shù)。這意味著托管著比特幣的第三方域名同時被買家、賣家和網(wǎng)站管理員所控制，在買家確認(rèn)收貨時，至少需要三方中的兩方簽名同意，這給了網(wǎng)站方面一定的仲裁權(quán)。不過研究人員目前還不清楚網(wǎng)站方面如何進(jìn)行仲裁。在很多情況下，“真正交易”網(wǎng)站的管理員可能會親自測試有爭議的漏洞，以確認(rèn)買家是否被騙。

顧客經(jīng)常擔(dān)心市場本身會竊取他們的比特幣，“真正交易”網(wǎng)站在解決這方面的疑慮方面做得也比現(xiàn)有網(wǎng)站要好。“真正交易”根據(jù)交易額大小收取3%或0.1個比特幣的手續(xù)費(fèi)，但并不需要用戶將比特幣存儲在自身控制的比特幣賬戶下。因此，它沒辦法像之前的Sheep Marketplace和Evolution這些交易網(wǎng)站一樣卷錢跑路。之前發(fā)生的幾個案例里，

網(wǎng)站跑路卷走了數(shù)百萬比特幣。網(wǎng)站FAQ中寫道，我們沒有比特幣錢包，我們不想要你的比特幣，并可以保證我們不會在未來的某一天帶著你的比特幣跑路。

像大多數(shù)暗網(wǎng)市場一樣，“真正交易”網(wǎng)站的運(yùn)營方身份是一個謎。網(wǎng)站的管理層并沒有立即響應(yīng)研究者的采訪請求，創(chuàng)建人將自己描述成信息安全領(lǐng)域的專家，專注于銷售零日漏洞。在接受暗網(wǎng)博客DeepDotWeb采訪時，網(wǎng)站管理層在Q&A中表示，他們由四個人組成，每個人在信息安全領(lǐng)域都有很深的經(jīng)驗。

“我們對于傳統(tǒng)的未加密互聯(lián)網(wǎng)上的零日漏洞代碼、數(shù)據(jù)庫有很深的經(jīng)驗，但問題在于，這方面90%的賣家都是騙子。技術(shù)功底深厚的買家總是能夠通過商品描述信息和賣家演示判別出騙子，但有些賣家非常聰明狡猾。因此我們決定開發(fā)一個相對來說可信的網(wǎng)站，在提供防騙功能的同時保持高度的匿名性。”

“真正交易”在將這種灰色經(jīng)濟(jì)帶到互聯(lián)網(wǎng)上方面并非首創(chuàng)。一個名為WabiSabiLabi的網(wǎng)站在2007年開始運(yùn)行，目標(biāo)是成為銷售漏洞的eBay。但由于賣家很難在不完全向買家展示漏洞本身的情況下提供可信的演示，該網(wǎng)站迅速垮掉了。盡管提供了多簽名保護(hù)和第三方托管服務(wù)，“真正交易”很有可能會面對同樣的問題。

不像零日漏洞行業(yè)里的其它成員，“真正交易”并不會遇到道德或法律方面的障礙。比如法國的黑客公司Vupen聲稱自己只向北約成員國出售零日漏洞。近年來，零日漏洞銷售已經(jīng)稱為地下市場的重要交易項目，政府的情報和執(zhí)法機(jī)構(gòu)往往是出價最高的買家。“真正交易”采取的Tor加密和賣家匿名策略可能會將政府方面的買家拒之門外，但這種匿名性相反地會吸引一些網(wǎng)絡(luò)罪犯或受雇于獨(dú)裁政權(quán)的黑客。

“真正交易”屬于不合法網(wǎng)站，它還銷售洗錢服務(wù)、被盜賬戶。買家可以自助選購大量的不合法商品，零日漏洞只屬于該網(wǎng)站提供的LSD、安非他明、被盜賬戶項目中的特色商品。

暗網(wǎng)經(jīng)濟(jì)正在向發(fā)展成為真正的、非法的自由市場步步邁進(jìn)，“真正交易”只是其中的一個代表。盡管絲綢之路也容忍賣家在網(wǎng)站上出售一些簡單的黑客工具，它還是基本執(zhí)行了“無受害人”策略的。

“真正交易”沒有這一類規(guī)范。它只包含兩條規(guī)則，其一，禁止兒童色情；其二，禁止"doxing"，也就是發(fā)布特定用戶的個人信息。但只要這種零日漏洞的銷售保持匿名的形式，個人信息遲早成為交易中的一環(huán)。