Hacktocreate,除了这个之外,我们确实都是普通人。而且具备「Hacktocreate」能力的人,这个世界也很多很多。所以,如果我们还不是真的超神,并没什么特别值得去骄傲的,即使不小心超神了,也没有人可以一辈子超神。
原文标题:《黑客的一个思考角度》文章来源:公众号懒人在思考撰文:余弦,区块链安全公司慢雾创始人
余弦,区块链安全公司慢雾创始人
昨晚我在知乎上回答了个问题「真正的黑客是怎么样的?」,原回答如下:
高中大学期间我也会在琢磨这个问题,差不多是大四开始真正感觉进入了所谓的黑客圈子,那时是XSS/CSRF正要大爆炸的时期,在这个圈子职业工作了数年后,对「真正的黑客」有了自己的标准,就好像每个人的回答可能都不一样。
慢雾:ERC721R示例合约存在缺陷,本质上是由于owner权限过大问题:4月12日消息,据@BenWAGMI消息,ERC721R示例合约存在缺陷可导致项目方利用此问题进行RugPull。据慢雾安全团队初步分析,此缺陷本质上是由于owner权限过大问题,在ERC721R示例合约中owner可以通过setRefund Address函数任意设置接收用户退回的NFT地址。
当此退回地址持有目标NFT时,其可以通过调用refund函数不断的进行退款操作从而耗尽用户在合约中锁定的购买资金。且示例合约中存在owner Mint函数,owner可在NFT mint未达总供应量的情况下进行mint。因此ERC721R的实现仍是防君子不防小人。慢雾安全团队建议用户在参与NFTmint时不管项目方是否使用ERC721R都需做好风险评估。[2022/4/12 14:19:58]
当不断感受到圈外人对黑客的好奇时,已经是局内人的我有时候会觉得这种好奇很多余,没什么大不了的,大家都是普通人,但当我参加一些特殊的交流时,才深刻感知到:隔行如隔山的真谛。
动态 | 慢雾预警:数字货币用户注意邮件钓鱼、撞库风险:慢雾安全团队今日捕获到某知名数字货币交易所邮件发送配置不当,导致大量用户邮箱泄露。鉴于数字货币行业用户喜欢多平台注册的特殊性,请大家谨防邮件钓鱼 和撞库风险![2019/11/1]
比如我参加过TEDx;我参加过技术圈的一些不错的聚会;我参加过物理圈子的活动等等。我看到了不同圈子里的牛人,他们表现出来的感觉多么似曾相识,但又很陌生,毕竟真的是隔行如隔山,我也会想:真正的建筑师是什么样的?真正的物理学家是什么样的?当我有这些朋友后,我们互相的感慨是一样的:大家都是普通人,但如果在自己的圈子成为职业手,一定都会有一种可以看透世界运行法则的能力,无论你是拿起电脑Hacking,还是拿起其他什么设备Hacking,我们都在Hacking,都想突破层层关卡,提升自己的能力,输出价值,即:创造(Creating)。我及我认为真正的黑客,一定是守正出奇,具备强大创造力的人。
声音 | 慢雾安全团队:建议检查充值所在的区块来避免回滚交易攻击:据 IMEOS 报道,针对凌晨出现的 BetDice 等大量头部 DApp 遭受回滚交易攻击的情况,慢雾安全团队建议 EOS 交易所及中心化钱包在通过 RPC 接口 get_actions 处理热钱包充值记录时,应检查充值 transaction 所在的 block_num 是否小于 last_irreversible_block(最新不可逆区块),如果 block_num 大于 last_irreversible_block 则表示该区块仍然是可逆的,存在“假充值”风险。[2018/12/19]
Hacktocreate,除了这个之外,我们确实都是普通人。而且具备「Hacktocreate」能力的人,这个世界也很多很多。所以,如果我们还不是真的超神,并没什么特别值得去骄傲的,即使不小心超神了,也没有人可以一辈子超神。
慢雾区:又有200ETH被盗:据慢雾“以太坊黑人节”专题网站监控显示,又有近200 ETH 被盗。攻击者(0x957cd…)在受害人收到 199 ETH 入账约三小时后,把受害人钱包内余额全部盗走。[2018/4/27]
我在黑客或安全这个圈子职业工作实际上已经进入第12年了,回头看看自己的分享和创造,不变的还是这句话「Hacktocreate」。只是以前不这样叫而已,但却一直是这样做。
过去这些年的Hacking之路主要覆盖了:恶意软件对抗、Web漏洞挖掘、IoT漏洞挖掘、渗透测试/RedTeaming、区块链漏洞挖掘;在Creating之路也做了些事:比如黑客工程,玩黑客的不少人知道的网络空间搜索引擎ZoomEye,这个诞生到现在也有6年了。Creating是一种很重要的能力,需要具备软件工程思维、产品思维、商业思维,否则有的东西注定是小打小闹,不值一提。
过去两年多,我对Creating有了进一步的实践,这个实践就是独立创业,运营安全公司,聚焦创造可能更大的价值。是的,这个难度最大,幸运的是我有一些不错的同行者,也做了些正确的选择,比如聚集RedTeaming的越零一(Joinsec),聚焦区块链生态安全的慢雾,他们在各自的特定领域努力创造价值。
前几天,我曾经带过的一位安全工程师问我:「老大看到这个,有个疑问需要你帮忙解答。是什么驱使你不断在学习,即使Python已经熟烂于心?总看到你学习新东西或者已经很熟悉的内容。及其佩服。」
我当时没特别正面回答他这个问题,那么这篇文章会是一个答案。
我不知道未来我会继续创造出什么,但应该会是有更大价值的东西,如果我的运气好的话。
来源链接:mp.weixin.qq.com
本文来源于非小号媒体平台:
余弦
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3626568.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
PeckShield深度还原,锁死MakerDAO中MKR代币的漏洞是啥?
根据5月16日美国国税局专员CharlesRettig回复的一封信,目前美国国税局已将对加密货币发布税收指导列为优先事项。Rettig在信中指出,虚拟货币被视为财产,适用于财产交易的现行税收原则也适用于加密货币交易.
1900/1/1 0:00:00但如何实现城市间各部位数据的共享呢?这又是个令人懊恼的问题。无论是企业或是政府各部门,对数据共享缺乏足够的动力。数据被视为数字时代的石油,每家企业都想守着自己的数据挖掘出巨大的商业价值。甚至数据隐私本身的保护服务,就蕴藏着商业利润.
1900/1/1 0:00:002019年4月22日00:00:00至4月28日23:59:59。活动期间,参与交易ZCO/BTC的用户将按活动期间个人ZCO买入交易量,排在前5名的用户可以获得大赛奖励.
1900/1/1 0:00:00作者:Apatheticco比特币、以太坊以及许多其他加密资产的价格目前都位于年内的高点,市场有望进入一个明显的看涨周期。然而,一位ID为“Rptr45”的推特网友表示,市场可能会回调.
1900/1/1 0:00:00文章系金色财经专栏作者供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别,谨防上当.
1900/1/1 0:00:00国际志愿者招募 亲爱的用户: 我们是敢于实现梦想的创新者。我们正在用区块链技术创造一个更美好的世界,改革我们的金融系统,重新定义人际关系,缩短人与人之间的距离。我们都有强烈的欲望要留下区块链的世界里留下些我们专属的回忆.
1900/1/1 0:00:00