原文作者:谷昱
作为Paradigm的研究合伙人兼安全主管,Samczsun同时也是加密行业最为知名的白帽黑客,没有之一。过去几年,Samczsun通过向项目方私信,至少帮助二十余个项目提前发现系统漏洞,避免了数亿美元的损失,包括Sushiswap、ENS、Rari等。
DragonflyCapital合伙人Haseeb近期就在一次采访中称,他认为Samczsun是在Web3工作的最聪明的人。Paradigm另一名合伙人DanRobinson则将他称为加密行业的蝙蝠侠。每当加密生态系统中有大量资金处于危险之中时,就会发出蝙蝠信号,Samczsun就会进来帮助挽救局面。那么,Samczsun是如何成为如今的顶级白帽黑客的?
「Uup?」
这句来自Samczsun的询问,是任何DeFi项目方最害怕收到的消息之一,因为这很可能意味着Samczsun发现了该项目智能合约存在严重漏洞,用户资产随时有可能被黑客盗走。
在加密世界,各类协议的智能合约漏洞屡见不鲜,成为黑客眼中诱人的「肥肉」。据FootprintAnalytics统计,2021年至少90个DeFi项目遭遇各种攻击,初始损失金额超过10亿美元,给普通用户带来极大的损失。不过在黑客肆意妄为的同时,也有许多白帽黑客在帮助项目方提前发掘智能合约漏洞。
印度议会金融委员会将于11月15日与加密行业参与者会面:金色财经报道,印度议会金融常设委员会最近发布了一份针对该国加密货币参与者的通知,定于11月15日举行名为“听取协会、行业专家对’加密金融’主题的看法:机遇与挑战”的会议。该会议可能会听取加密货币利益相关者的意见。这是一项重大进展,因为在此通知之前,政府未列出任何正式会议。[2021/11/12 6:47:27]
Samczsun就是加密行业最为知名的匿名白帽黑客,没有之一。过去几年,Samczsun通过向项目方私信,至少帮助二十余个项目提前发现系统漏洞,避免了数亿美元的损失,包括Sushiswap、ENS、Rari、Tokenlon等。
Samczsun的正式身份是著名加密风投机构Paradigm研究合伙人,专注于Paradigm的投资组合公司以及对安全和相关主题的研究,他的所有公开发声几乎都是对加密项目漏洞的报告与分析,以保护加密生态的健康发展。
尽管Samczsun曾表示会优先考虑审查投资组合公司计划发布新代码,但他披露漏洞的项目大部分都并非Paradigm的投资组合项目,例如Sushiswap、ENS、ForTube、Tokenlon等,这也使得他成为对DeFi生态乃至加密行业安全领域贡献最大、影响力最高的人物之一。
SEC修订规则扩大合格投资者定义,多数加密行业大V看好:8月26日晚间,美国SEC官方发文宣布,通过修订规则,扩大其合格投资者的定义。对此,Gemini联合创始人Tyler Winklevoss发推评论称,SEC承认,没有资金的创业者可以像华尔街的繁荣一代一样成熟,这一点值得称赞。财富不等于投资敏锐,看看华尔街的“专家”是如何错过比特币的就知道了。
Zcoin创始人Poramin Insom表示,这一变化可能会带来更大的包容性,对未来证券型代币的发行产生积极影响。他表示:“这将允许更多投资者涌入这个重要的市场,帮助较小的项目启动。”
交易平台Uphold首席收益官Robin O’connell称:“很高兴看到监管机构正在逐步适应。它增加了获得投资的机会和途径,而这些投资以前只提供给少数特权人士。”
但也有人持不同看法。Celsius Network首席执行官Alex Mashinsky表示:“99%的人都被排除在美国最好的创新之外,所以现在的问题是,监管机构是否会仍然要求对零售用户进行认证,还是SEC会让这种情况继续下去。”(Cointelegraph)[2020/8/28]
DragonflyCapital合伙人Haseeb近期就在一次采访中称,他认为samczsun是在Web3工作的最聪明的人。Paradigm另一名合伙人DanRobinson则将他称为加密行业的蝙蝠侠。每当加密生态系统中有大量资金处于危险之中时,就会发出蝙蝠信号,Samczsun就会进来帮助挽救局面。
观点:加密行业目前远落后于黄金和股市:CNBC分析师兼交易员Jon Najarian日前在播客中与摩根溪创始人Anthony Pompliano进行了交谈。Jon Najarian承认,虽然他交易数字资产时优先考虑比特币,但他也交易ETH、一些XLM和LTC。他透露,每个月,他交易的数字资产占其投资组合的5%到10%,其中比特币是他交易最多的加密货币。其次是ETH。Jon Najarian表示,华尔街投资者的进入只对加密货币领域有利。
在他看来,加密行业才刚刚开始发展,在这方面远远落后于黄金和股市。Jon Najarian还指出,比特币允许大量资金在世界各地轻松移动,现金和黄金并非那么容易运输。根据Jon Najarian的说法,来自华尔街的投资者正在悄悄地积累比特币,而没有透露这个事实,以防止价格上涨,因为他们想彻底扩大他们的比特币头寸。(U.Today)[2020/7/11]
那么,Samczsun是如何成为如今的顶级白帽黑客的?链捕手在本文中将通过公开资料对他的过往经历进行大致的梳理与归纳。
声音 | Kraken首席执行官:加密行业自我监管需要政府的大力支持:金色财经报道,Kraken首席执行官Jesse Powell表示,加密行业在过去几年中相对有所改善,但用户在选择自己喜欢的加密货币交易所时仍应保持谨慎。自我监管的体系如果没有政府的大力支持,这样的体系将很难繁荣。[2019/12/12]
从Samczsun的社交媒体资料来看,其最早的网络动态是在2014年11月,当月他加入Github并在11-12月做出114项贡献。
Samczsun最早可追踪的漏洞挖掘记录则是在2016年1月,当时他在推特@Enjin官方推特,表示有严重的安全问题需要解决,随后Enjin官推回复并提供了一个报告提交链接。这个Enjin,就是如今热门NFT游戏平台Enjin,不过当时该项目尚未进入加密与NFT赛道。
2017年,Samczsun在漏洞赏金平台Hackerone提交多个项目漏洞,包括印度版美团Zomato、法律合同分析公司LegalRobot,并在博客发布过多篇漏洞分析文章。
赵长鹏:VC正在入场加密行业:币安创始人赵长鹏刚刚在其社交媒体表示,他的一位VC行业的朋友称: \"我的行业完全被打乱了, 钱不再是谈判的筹码, 我们正在步入加密行业。”[2018/6/9]
Samczsun首次公开对DeFi协议漏洞进行调查研究是在2019年7月,彼时他向0x协议披露其存在的一个智能合约漏洞,允许恶意行为者代表任何已批准的0x合约花费其资产的外部拥有账户(EOA)创建有效订单,项目方也不得不关闭协议来修补漏洞,并从头开始部署0xv2.1智能合约。在这次漏洞事件中,Samczsun获得了10万美元赏金。
Samczsun也从此正式开启白帽黑客之路,以相当高产的漏洞研究迅速在DeFi行业走红。
此后一年,伴随着2020年的「DeFi之夏」热潮,Samczsun又发现了ENS、Livepeer、bZxNetwork、CurveFinance等诸多加密项目的潜在漏洞。
其中,CurveFinance的漏洞可以使任何人都可以利用该漏洞耗尽智能合约,ENS漏洞可以使ENS用户通过某种方式在将所有权转让给其他人后再度取回所有权,这些都是对项目发展产生重大负面影响的漏洞,足见Samczsun贡献之大。
「构建软件的一个常见误解是,如果系统中的每个组件都经过单独验证是安全的,那么系统本身也是安全的。这种信念在DeFi中得到了最好的说明,在DeFi中,可组合性是开发人员的第二天性。不幸的是,虽然组合两个组件在大多数情况下可能是安全的,但只需要一个漏洞就会对数百甚至数千名无辜用户造成严重的经济损失。」Samczsun在发现众多DeFi项目漏洞后做出如是总结,「安全的组件也可以聚集在一起,使得某些东西变得不安全。」
2020年初,Samczsun还在Gitcoin平台发起赠款,并成为Gitocin第五轮赠款活动募资最多的对象。同期,Samczsun也加入加密安全公司TrailofBits担任安全工程师。
至2020年9月,已经在DeFi安全领域颇具名气的Samczsun在Paradigm创始人邀请下,成为该投资机构的研究合伙人,以「帮助评估潜在投资组合公司的安全状况,协助当前投资组合公司,推进以太坊生态系统的整体安全。」
DODO、Rari、Tokenlon、ForTube、BendDAO等项目,其中Rari代码漏洞可能会导致Fuse池所有可借用资产被盗。在以太坊基金会公布的以太坊执行层漏洞赏金排行榜上,Samczsun也长期位居第一名。此外,Samczsun还曾助dYdX、GelatoNetwork等项目方紧急处理漏洞事件。
其中,最令Samczsun名声大噪的案例当属MISO漏洞事件,帮助项目方避免了高达3.5亿美元的资金损失。
2021年8月17日,当Samczsun注意到SushiSwapIDO平台MISO正在进行史上最大规模的IDO时,他随后在Etherscan上打开MISO的智能合约,很快发现initMarket功能没有访问控制,initAuction调用的函数也不包含访问控制检查。
具体而言,这个漏洞会MISO错误地处理荷兰式拍卖中的失败事务,即智能合约不会拒绝超过拍卖代币上限的交易,反而是在拍卖结束后退款给用户。因此,攻击者可以利用MISO平台上的漏洞免费竞拍,并获得提交金额和当前出价间的差额退款,直到耗尽合约中的所有资金。也就是说,这个漏洞会使超过该项目募集的10.9万个ETH面临被盗风险。
意识到漏洞的严重性后,Samczsun联系到Sushi团队并进行电话会议告知具体漏洞,随后又与项目方密切沟通对智能合约中的资金进行紧急处理,最终在三个小时内解决该次危机。事后,Samczsun获得Sushi团队的100万USDC赏金奖励。
在事后接受Immunefi采访时,Samczsun用「兴奋和恐惧的奇怪组合」来描述发现此次漏洞的心情。「兴奋,源于你刚刚找到了你一直在寻找的东西。恐惧,因为时钟正在滴答作响,每过一秒,其他人就会发现同样的错误。我的心率上升与风险量成正比。」
经此一役,Samczsun的影响力从安全圈子拓展到整个加密行业,成为行业内最知名的白帽黑客与加密安全研究者。
不过,Samczsun的突出贡献也隐约暗示着一个不安与残酷的事实,即加密安全的生态仍然相当脆弱,各类项目的安全意识与防御能力参差不齐,尽管少数像Samczsun的白帽黑客凭借高度的行业责任感与道德感选择向项目方披露,但多数黑客在发现漏洞后选择主动攻击从而实现更多获利。
这也导致今年以来各类安全事故仍然接连发生在加密行业,类似Ronin跨链桥被盗超6亿美元、RariCapital被盗8000万美元、BeanstalkFarms被盗超8000万美元等重大安全事件一次又一次冲击着加密社区的信心,并导致DeFi用户遭遇巨大损失。
Samczsun的所有贡献,是行业之幸,但也折射出行业之悲。
尊敬的XT.COM用戶:XT.COM现已開放HNT充值與提幣業務。給您帶來的不便,請您諒解!感謝您對XT.COM的支持與信任!XT.COM團隊2022年6月17日https://www.xt.c.
1900/1/1 0:00:006月19日消息,Solana生态借贷协议Solend创始人Rooter发推称,某个巨鲸在Solend上拥有价值1.7亿美元的SOL存款和价值1.08亿美元的USDCUSDT债务头寸.
1900/1/1 0:00:00尊敬的CITEX用户:CITEX平台IPFS算力IDC机房自运营以来机器运行稳定,平台已于2022年1月28日公布2021年?IPFS算力IDC机房费用.
1900/1/1 0:00:00昨天凌晨大饼又开始探底动作,目前来到20000美元支撑能撑住吗?所有咨询平台均为蟹老板的进击之路先来看比特币消息面:据F2pool数据显示.
1900/1/1 0:00:00親愛的ZT用戶:為給用戶提供更好的交易體驗,ZT會對已上線項目進行嚴格審查,根據項目下架規則,ZT決定對HERO,PIT,SILO,SEA,METAPETS,PEX,HI,TMT,RDR.
1900/1/1 0:00:00金色财经报道,印度市场监管机构周一对Reliance及其两名官员处以罚款,原因是他们没有正确披露Facebook在2020年4月对JioPlatforms的57亿美元投资.
1900/1/1 0:00:00