宇宙链 宇宙链
Ctrl+D收藏宇宙链

加密行业顶级白帽黑客 samczsun 是如何诞生的?

作者:

时间:1900/1/1 0:00:00

作者:谷昱,链捕手

“Uup?”

这句来自samczsun的询问,是任何DeFi项目方最害怕收到的消息之一,因为这很可能意味着samczsun发现了该项目智能合约存在严重漏洞,用户资产随时有可能被黑客盗走。

在加密世界,各类协议的智能合约漏洞屡见不鲜,成为黑客眼中诱人的“肥肉”。据FootprintAnalytics统计,2021年至少90个DeFi项目遭遇各种攻击,初始损失金额超过10亿美元,给普通用户带来极大的损失。不过在黑客肆意妄为的同时,也有许多白帽黑客在帮助项目方提前发掘智能合约漏洞。

samczsun就是加密行业最为知名的白帽黑客,没有之一。过去几年,samczsun通过向项目方私信,至少帮助二十余个项目提前发现系统漏洞,避免了数亿美元的损失,包括Sushiswap、ENS、Rari、Tokenlon等。

samczsun的正式身份是著名加密风投机构Paradigm研究合伙人,专注于Paradigm的投资组合公司以及对安全和相关主题的研究,他的所有公开发声几乎都是对加密项目漏洞的报告与分析,以保护加密生态的健康发展。

律师:Hinman文件突出SEC不是监管加密行业的合适机构,国会有必要干预:6月14日消息,加密律师兼CryptoLaw创始人 John Deaton表示,SEC前高级职员Bill Hinman于2018年的演讲文件为Ripple、Coinbase和其他面临监管机构不公正执法的实体提供了支持;这些文件不仅会影响公众舆论,而且可能会影响国会的立法讨论,因为它们引起了人们对监管机构行为和对现行法律解释的担忧。

Deaton表示,这些文件本身不会影响法官对Ripple是否将XRP作为投资合同以提供、出售的基本分析,或者XRP在二级市场的地位美国市场。但它确实加强了Ripple的论点,即Hinman发表的演讲造成了市场混乱,并阻碍了市场参与者理解现有法规禁止的内容的能力。”Deaton进一步强调了这些文件对Ether和ERC-20代币的潜在影响。这些文件可能会通过降低以太坊被SEC归类为证券的可能性。这些文件强调了国会有必要干预并在管理数字资产方面提供明确的信息,鉴于这些文件突出了明显的利益冲突和不当行为,SEC可能不是监管加密行业的合适机构。[2023/6/14 21:35:45]

尽管samczsun曾表示会优先考虑审查投资组合公司计划发布新代码,但他披露漏洞的项目大部分都并非Paradigm的投资组合项目,例如Sushiswap、ENS、ForTube、Tokenlon等,这也使得他成为对DeFi生态乃至加密行业安全领域贡献最大、影响力最高的人物之一。

Cardano发布首份年报:因持有BTC和ADA整个2022全年未受加密行业风险事件影响:4月22日消息,Cardano基金会官方网站发布了首份年度报告,其中回顾了该区块链在整个2022年取得的成就。报告指出,由于主要持有比特币(价值1900万美元)和ADA(价值1.66亿美元),因此Cardano整个2022年都没有受到加密行业各类风险事件的直接影响。Cardano基金会还披露了其他里程碑,包括:支持Vasil硬分叉、与联合国难民署和苏黎世大学签署合作协议、开发Kupo V2、扩展Developer Portal等。[2023/4/22 14:20:17]

DragonflyCapital合伙人Haseeb近期就在采访中称,他认为samczsun是在Web3工作的最聪明的人。Paradigm另一名合伙人DanRobinson则将他称为加密行业的蝙蝠侠。每当加密生态系统中有大量资金处于危险之中时,就会发出蝙蝠信号,samczsun就会进来帮助挽救局面。

数据:2022年超6万名Web3开发者加入加密行业,环比增加25.8%:1月18日消息,据Electric Capital最新报告中数据显示,2022年共计61,127名Web3开发人员加入加密行业,创下历史记录,比2021年增加25.8%。其中,全职开发人员(对76%Github提交做出贡献的开发者)增加15.2%,人数超过7000人。每月活跃Web3开发者人数增加5.4%,超过23,300人。

以太坊仍主导开发者活动,其全职开发者人数增加了9%至1,873人,这超过了接下来三个最多生态开发者人数的总和:Polkadot(752名)、Cosmos(511名)和Solana(383名)。此外,Electric Capital表示,因部分项目为闭源,预估实际Web3开发者数量要远超于此。[2023/1/18 11:18:37]

那么,samczsun是如何成为如今的顶级白帽黑客的?链捕手在本文中将通过公开资料对他的过往经历进行大致的梳理与归纳。

声音 | CNBC主持人:美国SEC对Kik的诉讼只会对加密行业有利:加密货币分析师和CNBC主持人Ran NeuNer发推表示,美国证券交易委员会对Kik的诉讼只会对加密行业有利。如果SEC会获胜,那么该行业的现状将继续保持。相反,如果SEC会失败,那么就有先例,这只会为美国加密公司带来更多机会。其称,我们都应该支持Kik。[2019/6/5]

从samczsun的社交媒体资料来看,其最早的网络动态是在2014年11月,当月他加入Github并在11-12月做出114项贡献。

samczsun最早可追踪的漏洞挖掘记录则是在2016年1月,当时他在推特@Enjin官方推特,表示有严重的安全问题需要解决,随后Enjin官推回复并提供了一个报告提交链接。这个Enjin,就是如今热门NFT游戏平台Enjin,不过当时该项目尚未进入加密与NFT赛道。

2017年,samczsun在漏洞赏金平台Hackerone提交多个项目漏洞,包括印度版美团Zomato、法律合同分析公司LegalRobot,并在博客发布过多篇漏洞分析文章。

动态 | 英国加密资产特别工作组定义加密行业术语:英国加密资产特别工作组(Cryptoassets Taskforce)对加密行业术语进行了定义。首先,工作组将加密资产定义为“使用某种类型的DLT并可通过电子方式传输、存储或交易的加密保护的价值或合同权利的数字表示”。在此基础上,定义其中一个术语是“交换令牌”(exchange token)。由于加密货币不具备“货币功能”,该组织不认为它应该在其中包含“货币”一词,并认为exchange token更适合使用,因为它们被用作交换媒介。第二个术语是“证券令牌”,相当于“指定的投资”。这些代币“可能提供所有权、偿还某笔特定金额的权利,或未来利润分成的权利”。[2018/11/22]

samczsun首次公开对DeFi协议漏洞进行调查研究是在2019年7月,彼时他向0x协议披露其存在的一个智能合约漏洞,允许恶意行为者代表任何已批准的0x合约花费其资产的外部拥有账户(EOA)创建有效订单,项目方也不得不关闭协议来修补漏洞,并从头开始部署0xv2.1智能合约。在这次漏洞事件中,samczsun获得了10万美元赏金。

samczsun也从此正式开启白帽黑客之路,以相当高产的漏洞研究迅速在DeFi行业走红。

此后一年,伴随着2020年的“De-Fi之夏”热潮,Samczsun又发现了ENS、Livepeer、bZxNetwork、CurveFinance等诸多加密项目的潜在漏洞。

其中,CurveFinance的漏洞可以使任何人都可以利用该漏洞耗尽智能合约,ENS漏洞可以使ENS用户通过某种方式在将所有权转让给其他人后再度取回所有权,这些都是对项目发展产生重大负面影响的漏洞,足见samczsun贡献之大。

“构建软件的一个常见误解是,如果系统中的每个组件都经过单独验证是安全的,那么系统本身也是安全的。这种信念在DeFi中得到了最好的说明,在DeFi中,可组合性是开发人员的第二天性。不幸的是,虽然组合两个组件在大多数情况下可能是安全的,但只需要一个漏洞就会对数百甚至数千名无辜用户造成严重的经济损失。”Samczsun在发现众多DeFi项目漏洞后做出如是总结,“安全的组件也可以聚集在一起,使得某些东西变得不安全。”

2020年初,samczsun还在Gitcoin平台发起赠款,并成为Gitocin第五轮赠款活动募资最多的对象。同期,samczsun也加入加密安全公司TrailofBits担任安全工程师。

至2020年9月,已经在DeFi安全领域颇具名气的samczsun在Paradigm创始人邀请下,成为该投资机构的研究合伙人,以“帮助评估潜在投资组合公司的安全状况,协助当前投资组合公司,推进以太坊生态系统的整体安全。”

以太坊执行层漏洞赏金排行榜

此后至今,samczsun继续其漏洞披露的惯例,涉及AlphaHomora、DODO、Rari、Tokenlon、ForTube、BendDAO等项目,其中Rari代码漏洞可能会导致Fuse池所有可借用资产被盗。在以太坊基金会公布的以太坊执行层漏洞赏金排行榜上,samczsun也长期位居第一名。此外,samczsun还曾助dYdX、GelatoNetwork等项目方紧急处理漏洞事件。

其中,最令samczsun名声大噪的案例当属MISO漏洞事件,帮助项目方避免了高达3.5亿美元的资金损失。

2021年8月17日,当samczsun注意到SushiSwapIDO平台MISO正在进行史上最大规模的IDO时,他随后在Etherscan上打开MISO的智能合约,很快发现initMarket功能没有访问控制,initAuction调用的函数也不包含访问控制检查。

具体而言,这个漏洞会MISO错误地处理荷兰式拍卖中的失败事务,即智能合约不会拒绝超过拍卖代币上限的交易,反而是在拍卖结束后退款给用户。因此,攻击者可以利用MISO平台上的漏洞免费竞拍,并获得提交金额和当前出价间的差额退款,直到耗尽合约中的所有资金。也就是说,这个漏洞会使超过该项目募集的10.9万个ETH面临被盗风险。

意识到漏洞的严重性后,samczsun联系到Sushi团队并进行电话会议告知具体漏洞,随后又与项目方密切沟通对智能合约中的资金进行紧急处理,最终在三个小时内解决该次危机。事后,samczsun获得Sushi团队的100万USDC赏金奖励。

在事后接受Immunefi采访时,samczsun用“兴奋和恐惧的奇怪组合”来描述发现此次漏洞的心情。“兴奋,源于你刚刚找到了你一直在寻找的东西。恐惧,因为时钟正在滴答作响,每过一秒,其他人就会发现同样的错误。我的心率上升与风险量成正比。”

经此一役,samczsun的影响力从安全圈子拓展到整个加密行业,成为行业内最知名的白帽黑客与加密安全研究者。

不过,samczsun的突出贡献也隐约暗示着一个不安与残酷的事实,即加密安全的生态仍然相当脆弱,尽管少数像samczsun的白帽黑客凭借高度的行业责任感与道德感选择向项目方披露,但大多数黑客在发现漏洞后选择主动攻击从而实现更多获利。

这也导致今年以来各类安全事故仍然接连发生在加密行业,类似Ronin跨链桥被盗超6亿美元、RariCapital被盗8000万美元、BeanstalkFarms被盗超8000万美元等事件一次又一次冲击着加密社区的信心。

samczsun的所有贡献,是行业之幸,但也折射出行业之悲。

注:关于samczsun?如何理解加密行业黑客生态、如何具体发掘漏洞,可参见《对话“加密蝙蝠侠”samczsun:成为白帽黑客是一种怎样的体验?》。

标签:SUNSAMAMCEFISUNTSAM价格MyteamcoinDEFILANCER币

POL币最新价格热门资讯
从 stETH 的折价说开去 -stETH 的定价、流动性和风险

作者:蘑菇,?IOBCCapital最近,关于知名借贷平台Celsius资不抵债的传闻甚嚣尘上,Celsius及其他陷入危机的大机构抛售资产筹措资金引发了stETH价格的脱钩.

1900/1/1 0:00:00
慢雾简析 OMNI 被黑原因:burn 函数会外部调用回调函数来造成重入问题

链捕手消息,据慢雾安全团队情报,2022年7月10号OMNIProtocol遭受闪电贷攻击。慢雾安全团队以简讯形式分享如下:1.攻击者首先通过supplyERC721函数抵押doodle,抵押后合约会给攻击者相应的凭证NToken.

1900/1/1 0:00:00
YGG Japan 完成 280 万美元融资,Animoca Brands 等参投

链捕手消息,链游公会YieldGuildGames(YGG)子DAO「YGGJapan」7月5日宣布已完成新一轮280万美元融资.

1900/1/1 0:00:00
晚报 | Osmosis 漏洞导致约 500 万美元损失;STEPN 更新其经济模型

整理:麟奇,链捕手 “过去24小时都发生了哪些重要事件”?1、Oasis生态跨链桥EVODefi发行的USDT脱锚至0.55美元.

1900/1/1 0:00:00
美国联邦存款保险公司对 Voyager Digital 关于存款保险索赔的虚假宣传展开调查

链捕手消息,据彭博社报道,美国联邦存款保险公司发言人表示,FDIC正对VoyagerDigital的虚假宣传展开调查,该调查的重点是用户存款保险的索赔方面.

1900/1/1 0:00:00
圆桌论坛:Web3革命和中国机会

作者:金色财经? 由金色财经主办的「在世界中心呼唤Web3」活动举行了首场AMA,主题为「Web3革命和中国机会」,嘉宾为量子选派创始人、2140发起人罗金海,数字经济领域资深法律人Iris,Conflux树图招商主人元杰.

1900/1/1 0:00:00