作者:谷昱,链捕手
“Uup?”
这句来自samczsun的询问,是任何DeFi项目方最害怕收到的消息之一,因为这很可能意味着samczsun发现了该项目智能合约存在严重漏洞,用户资产随时有可能被黑客盗走。
在加密世界,各类协议的智能合约漏洞屡见不鲜,成为黑客眼中诱人的“肥肉”。据FootprintAnalytics统计,2021年至少90个DeFi项目遭遇各种攻击,初始损失金额超过10亿美元,给普通用户带来极大的损失。不过在黑客肆意妄为的同时,也有许多白帽黑客在帮助项目方提前发掘智能合约漏洞。
samczsun就是加密行业最为知名的白帽黑客,没有之一。过去几年,samczsun通过向项目方私信,至少帮助二十余个项目提前发现系统漏洞,避免了数亿美元的损失,包括Sushiswap、ENS、Rari、Tokenlon等。
samczsun的正式身份是著名加密风投机构Paradigm研究合伙人,专注于Paradigm的投资组合公司以及对安全和相关主题的研究,他的所有公开发声几乎都是对加密项目漏洞的报告与分析,以保护加密生态的健康发展。
世界经济论坛:加密行业当前的经济环境与1995年的互联网泡沫一样:金色财经报道,在1月2日世界经济论坛 (WEF) 在其最新报告中概述了 2023 年加密货币和整个行业的可能未来。世界经济论坛数字货币治理联盟的官员 Dante Disparte 表示,加密行业当前的经济环境可以与 1995 年的互联网泡沫相提并论。在那段时间里,大多数企业都被消灭了,只有最强大的组织幸存下来。根据世界经济论坛 (WEF) 的说法,2022 年的“加密冬天”可能是整个行业的转折点。由于顶级加密企业去年遭遇众多后果,世界经济论坛警告说,加密货币的未来将由国家政府发布的监管框架驱动。
世界经济论坛 (WEF) 指出,采取措施监管发展中行业的司法管辖区可能会定义未来。然而,世界经济论坛还指出,不法行为者可能或仍会在该行业发展过程中对其进行剥削。[2023/1/3 22:21:44]
尽管samczsun曾表示会优先考虑审查投资组合公司计划发布新代码,但他披露漏洞的项目大部分都并非Paradigm的投资组合项目,例如Sushiswap、ENS、ForTube、Tokenlon等,这也使得他成为对DeFi生态乃至加密行业安全领域贡献最大、影响力最高的人物之一。
花旗高管:机构投资者对加密行业和DeFi的兴趣日益浓厚:金色财经报道,花旗银行全球外汇主管Itay Tuchman表示,机构投资者对加密的兴趣日益浓厚,在大流行期间转向比特币的机构投资者很快对更广泛的加密行业产生了兴趣。他指出,这些投资者中的许多人仍然希望在DeFi方面有一定的参与度。当被问及是什么阻碍了机构投资者从对加密货币的被动好奇转向积极交易时,Tuchman指出了监管以及对风险和合规性的担忧。值得注意的是,目前还没有银行拥有自己的加密托管人。 然而Tuchman称,这是他们的客户所要求的。[2021/10/9 5:48:57]
DragonflyCapital合伙人Haseeb近期就在采访中称,他认为samczsun是在Web3工作的最聪明的人。Paradigm另一名合伙人DanRobinson则将他称为加密行业的蝙蝠侠。每当加密生态系统中有大量资金处于危险之中时,就会发出蝙蝠信号,samczsun就会进来帮助挽救局面。
外媒:Facebook收购印度Reliance Jio 或将利好当地加密行业:社交媒体巨头Facebook 22日宣布,它将收购印度最大的私营公司Reliance Jio的股份,印度的加密货币社区对此持乐观态度。当地监管新闻和分析机构Crypto Kanoon分析称,尽管存在对隐私问题的担忧,但随着越来越多的印度人开始尝试数字资产,Reliance Jio和Facebook之间的合作将对加密货币产生“溢出效应”。对“区块链”和“比特币”等词的搜索也将激增。据悉,去年,Reliance Jio宣布了在印度建立最大的区块链网络的计划。(Bitcoin.com)[2020/4/23]
那么,samczsun是如何成为如今的顶级白帽黑客的?链捕手在本文中将通过公开资料对他的过往经历进行大致的梳理与归纳。
从samczsun的社交媒体资料来看,其最早的网络动态是在2014年11月,当月他加入Github并在11-12月做出114项贡献。
声音 | Cred联合创始人:当今加密行业面临着互操作性问题:区块链金融服务平台Cred(LBA)联合创始人Dan Schatt在接受采访时表示,当今加密行业面临着互操作性问题。Dan Schatt称,以太坊不与比特币对话,不与EOS和XRP对话。但如果真的希望人们使用所有这些东西进行开发,则需要开发互操作性。(Cointelegraph)[2020/2/10]
samczsun最早可追踪的漏洞挖掘记录则是在2016年1月,当时他在推特@Enjin官方推特,表示有严重的安全问题需要解决,随后Enjin官推回复并提供了一个报告提交链接。这个Enjin,就是如今热门NFT游戏平台Enjin,不过当时该项目尚未进入加密与NFT赛道。
2017年,samczsun在漏洞赏金平台Hackerone提交多个项目漏洞,包括印度版美团Zomato、法律合同分析公司LegalRobot,并在博客发布过多篇漏洞分析文章。
samczsun首次公开对DeFi协议漏洞进行调查研究是在2019年7月,彼时他向0x协议披露其存在的一个智能合约漏洞,允许恶意行为者代表任何已批准的0x合约花费其资产的外部拥有账户(EOA)创建有效订单,项目方也不得不关闭协议来修补漏洞,并从头开始部署0xv2.1智能合约。在这次漏洞事件中,samczsun获得了10万美元赏金。
动态 | 安永等知名会计师事务所已为加密行业提供审计服务:据金融时报的报道,由于加密公司对审计服务的需求激增,安永,普华永道和毕马威等会计师事务所都已开始为该行业提供财务审计服务。这些公司一直忙于雇用员工并开发自己的技术,旨在支持该行业的审计。据悉,安永已经在某种程度上获得了150多个参与数字资产部门的全球客户。这些包括矿场,交易所和使用区块链技术的传统公司。[2018/10/30]
samczsun也从此正式开启白帽黑客之路,以相当高产的漏洞研究迅速在DeFi行业走红。
此后一年,伴随着2020年的“De-Fi之夏”热潮,Samczsun又发现了ENS、Livepeer、bZxNetwork、CurveFinance等诸多加密项目的潜在漏洞。
其中,CurveFinance的漏洞可以使任何人都可以利用该漏洞耗尽智能合约,ENS漏洞可以使ENS用户通过某种方式在将所有权转让给其他人后再度取回所有权,这些都是对项目发展产生重大负面影响的漏洞,足见samczsun贡献之大。
“构建软件的一个常见误解是,如果系统中的每个组件都经过单独验证是安全的,那么系统本身也是安全的。这种信念在DeFi中得到了最好的说明,在DeFi中,可组合性是开发人员的第二天性。不幸的是,虽然组合两个组件在大多数情况下可能是安全的,但只需要一个漏洞就会对数百甚至数千名无辜用户造成严重的经济损失。”Samczsun在发现众多DeFi项目漏洞后做出如是总结,“安全的组件也可以聚集在一起,使得某些东西变得不安全。”
2020年初,samczsun还在Gitcoin平台发起赠款,并成为Gitocin第五轮赠款活动募资最多的对象。同期,samczsun也加入加密安全公司TrailofBits担任安全工程师。
至2020年9月,已经在DeFi安全领域颇具名气的samczsun在Paradigm创始人邀请下,成为该投资机构的研究合伙人,以“帮助评估潜在投资组合公司的安全状况,协助当前投资组合公司,推进以太坊生态系统的整体安全。”
以太坊执行层漏洞赏金排行榜
此后至今,samczsun继续其漏洞披露的惯例,涉及AlphaHomora、DODO、Rari、Tokenlon、ForTube、BendDAO等项目,其中Rari代码漏洞可能会导致Fuse池所有可借用资产被盗。在以太坊基金会公布的以太坊执行层漏洞赏金排行榜上,samczsun也长期位居第一名。此外,samczsun还曾助dYdX、GelatoNetwork等项目方紧急处理漏洞事件。
其中,最令samczsun名声大噪的案例当属MISO漏洞事件,帮助项目方避免了高达3.5亿美元的资金损失。
2021年8月17日,当samczsun注意到SushiSwapIDO平台MISO正在进行史上最大规模的IDO时,他随后在Etherscan上打开MISO的智能合约,很快发现initMarket功能没有访问控制,initAuction调用的函数也不包含访问控制检查。
具体而言,这个漏洞会MISO错误地处理荷兰式拍卖中的失败事务,即智能合约不会拒绝超过拍卖代币上限的交易,反而是在拍卖结束后退款给用户。因此,攻击者可以利用MISO平台上的漏洞免费竞拍,并获得提交金额和当前出价间的差额退款,直到耗尽合约中的所有资金。也就是说,这个漏洞会使超过该项目募集的10.9万个ETH面临被盗风险。
意识到漏洞的严重性后,samczsun联系到Sushi团队并进行电话会议告知具体漏洞,随后又与项目方密切沟通对智能合约中的资金进行紧急处理,最终在三个小时内解决该次危机。事后,samczsun获得Sushi团队的100万USDC赏金奖励。
在事后接受Immunefi采访时,samczsun用“兴奋和恐惧的奇怪组合”来描述发现此次漏洞的心情。“兴奋,源于你刚刚找到了你一直在寻找的东西。恐惧,因为时钟正在滴答作响,每过一秒,其他人就会发现同样的错误。我的心率上升与风险量成正比。”
经此一役,samczsun的影响力从安全圈子拓展到整个加密行业,成为行业内最知名的白帽黑客与加密安全研究者。
不过,samczsun的突出贡献也隐约暗示着一个不安与残酷的事实,即加密安全的生态仍然相当脆弱,尽管少数像samczsun的白帽黑客凭借高度的行业责任感与道德感选择向项目方披露,但大多数黑客在发现漏洞后选择主动攻击从而实现更多获利。
这也导致今年以来各类安全事故仍然接连发生在加密行业,类似Ronin跨链桥被盗超6亿美元、RariCapital被盗8000万美元、BeanstalkFarms被盗超8000万美元等事件一次又一次冲击着加密社区的信心。
samczsun的所有贡献,是行业之幸,但也折射出行业之悲。
注:关于samczsun?如何理解加密行业黑客生态、如何具体发掘漏洞,可参见《对话“加密蝙蝠侠”samczsun:成为白帽黑客是一种怎样的体验?》。
链捕手消息,YugaLabs新项目Otherside已取消荷兰式拍卖,OtherdeedNFT将以305ApeCoin的固定价格出售.
1900/1/1 0:00:00链捕手消息,据法制日报报道,浙江湖州查处首例价值百万元的重大虚拟货币“挖矿”案件。4月12日,浙江省发改委通过日常监测平台监测到吴兴区埭溪镇上强村存在部分异常IP地址登录情况,疑似为非法虚拟货币.
1900/1/1 0:00:00作者:ChaseDevens,Messari原文标题:《DeFi''sInvisibleRevolution》编译:Hsilung,链捕手摘要:尽管短期来看,似乎前景黯淡.
1900/1/1 0:00:00来源:Dmail众多资本和机构针对Web3,推出了自身的产品,其中,Web3邮箱Dmail创新推出资产内置功能和平台属性,有望成为Web3的领军现象级应用.
1900/1/1 0:00:00整理:麟奇、胡韬,链捕手重要资讯1、DoKwon:我对Terra给所有人带来的痛苦感到心碎,危机期间没有卖出LUNA与UST5月14日消息,Terra创始人DoKwon在凌晨发推表示.
1900/1/1 0:00:00作者:胡韬,链捕手在近期的加密市场大崩盘中,加密借贷平台Celsius是公认的最重要导火索之一,如今被普遍认为资不抵债、濒临破产.
1900/1/1 0:00:00