木星链 木星链
Ctrl+D收藏木星链
首页 > 火币下载 > 正文

SUN:加密行业顶级白帽黑客Samczsun是如何诞生的?

作者:

时间:1900/1/1 0:00:00

作为Paradigm的研究合伙人兼安全主管,Samczsun同时也是加密行业最为知名的白帽黑客,没有之一。过去几年,Samczsun通过向项目方私信,至少帮助二十余个项目提前发现系统漏洞,避免了数亿美元的损失,包括Sushiswap、ENS、Rari等。DragonflyCapital合伙人Haseeb近期就在一次采访中称,他认为Samczsun是在Web3工作的最聪明的人。Paradigm另一名合伙人DanRobinson则将他称为加密行业的蝙蝠侠。每当加密生态系统中有大量资金处于危险之中时,就会发出蝙蝠信号,Samczsun就会进来帮助挽救局面。那么,Samczsun是如何成为如今的顶级白帽黑客的?

美SEC主席:Kraken案件应该让加密行业警觉:金色财经报道,美国证券交易委员会(SEC)主席Gary Gensler周五在CNBC节目中表示,该机构昨天针对加密货币交易所Kraken采取的行动应该让加密行业警觉。他说,像Kraken这样的公司可以提供投资合同,但他们必须进行全面、公平和真实的披露。这真的应该让这个市场上的每个参与者都注意到,无论你称之为借贷、盈利、收益率,是否提供所谓的年收益率,其他平台应该注意到这一点并寻求合规。

金色财经此前报道,SEC与Kraken交易所就其质押计划相关指控达成和解, Kraken关闭美国质押服务,并支付3000万美元罚款。[2023/2/11 12:00:09]

「Uup?」这句来自Samczsun的询问,是任何DeFi项目方最害怕收到的消息之一,因为这很可能意味着Samczsun发现了该项目智能合约存在严重漏洞,用户资产随时有可能被黑客盗走。在加密世界,各类协议的智能合约漏洞屡见不鲜,成为黑客眼中诱人的「肥肉」。据FootprintAnalytics统计,2021年至少90个DeFi项目遭遇各种攻击,初始损失金额超过10亿美元,给普通用户带来极大的损失。不过在黑客肆意妄为的同时,也有许多白帽黑客在帮助项目方提前发掘智能合约漏洞。Samczsun就是加密行业最为知名的匿名白帽黑客,没有之一。过去几年,Samczsun通过向项目方私信,至少帮助二十余个项目提前发现系统漏洞,避免了数亿美元的损失,包括Sushiswap、ENS、Rari、Tokenlon等。Samczsun的正式身份是著名加密风投机构Paradigm研究合伙人,专注于Paradigm的投资组合公司以及对安全和相关主题的研究,他的所有公开发声几乎都是对加密项目漏洞的报告与分析,以保护加密生态的健康发展。尽管Samczsun曾表示会优先考虑审查投资组合公司计划发布新代码,但他披露漏洞的项目大部分都并非Paradigm的投资组合项目,例如Sushiswap、ENS、ForTube、Tokenlon等,这也使得他成为对DeFi生态乃至加密行业安全领域贡献最大、影响力最高的人物之一。DragonflyCapital合伙人Haseeb近期就在一次采访中称,他认为samczsun是在Web3工作的最聪明的人。Paradigm另一名合伙人DanRobinson则将他称为加密行业的蝙蝠侠。每当加密生态系统中有大量资金处于危险之中时,就会发出蝙蝠信号,Samczsun就会进来帮助挽救局面。那么,Samczsun是如何成为如今的顶级白帽黑客的?链捕手在本文中将通过公开资料对他的过往经历进行大致的梳理与归纳。从Samczsun的社交媒体资料来看,其最早的网络动态是在2014年11月,当月他加入Github并在11-12月做出114项贡献。Samczsun最早可追踪的漏洞挖掘记录则是在2016年1月,当时他在推特@Enjin官方推特,表示有严重的安全问题需要解决,随后Enjin官推回复并提供了一个报告提交链接。这个Enjin,就是如今热门NFT游戏平台Enjin,不过当时该项目尚未进入加密与NFT赛道。

数据:2022年超6万名Web3开发者加入加密行业,环比增加25.8%:1月18日消息,据Electric Capital最新报告中数据显示,2022年共计61,127名Web3开发人员加入加密行业,创下历史记录,比2021年增加25.8%。其中,全职开发人员(对76%Github提交做出贡献的开发者)增加15.2%,人数超过7000人。每月活跃Web3开发者人数增加5.4%,超过23,300人。

以太坊仍主导开发者活动,其全职开发者人数增加了9%至1,873人,这超过了接下来三个最多生态开发者人数的总和:Polkadot(752名)、Cosmos(511名)和Solana(383名)。此外,Electric Capital表示,因部分项目为闭源,预估实际Web3开发者数量要远超于此。[2023/1/18 11:18:37]

2017年,Samczsun在漏洞赏金平台Hackerone提交多个项目漏洞,包括印度版美团Zomato、法律合同分析公司LegalRobot,并在博客发布过多篇漏洞分析文章。Samczsun首次公开对DeFi协议漏洞进行调查研究是在2019年7月,彼时他向0x协议披露其存在的一个智能合约漏洞,允许恶意行为者代表任何已批准的0x合约花费其资产的外部拥有账户(EOA)创建有效订单,项目方也不得不关闭协议来修补漏洞,并从头开始部署0xv2.1智能合约。在这次漏洞事件中,Samczsun获得了10万美元赏金。Samczsun也从此正式开启白帽黑客之路,以相当高产的漏洞研究迅速在DeFi行业走红。此后一年,伴随着2020年的「DeFi之夏」热潮,Samczsun又发现了ENS、Livepeer、bZxNetwork、CurveFinance等诸多加密项目的潜在漏洞。其中,CurveFinance的漏洞可以使任何人都可以利用该漏洞耗尽智能合约,ENS漏洞可以使ENS用户通过某种方式在将所有权转让给其他人后再度取回所有权,这些都是对项目发展产生重大负面影响的漏洞,足见Samczsun贡献之大。「构建软件的一个常见误解是,如果系统中的每个组件都经过单独验证是安全的,那么系统本身也是安全的。这种信念在DeFi中得到了最好的说明,在DeFi中,可组合性是开发人员的第二天性。不幸的是,虽然组合两个组件在大多数情况下可能是安全的,但只需要一个漏洞就会对数百甚至数千名无辜用户造成严重的经济损失。」Samczsun在发现众多DeFi项目漏洞后做出如是总结,「安全的组件也可以聚集在一起,使得某些东西变得不安全。」2020年初,Samczsun还在Gitcoin平台发起赠款,并成为Gitocin第五轮赠款活动募资最多的对象。同期,Samczsun也加入加密安全公司TrailofBits担任安全工程师。至2020年9月,已经在DeFi安全领域颇具名气的Samczsun在Paradigm创始人邀请下,成为该投资机构的研究合伙人,以「帮助评估潜在投资组合公司的安全状况,协助当前投资组合公司,推进以太坊生态系统的整体安全。」

FTX倒闭后市场首现反弹迹象,过去24小时加密行业总市值增长超120亿美元:金色财经报道,FTX 倒闭后市场首现反弹迹象,过去 24 小时加密行业总市值从 8570 亿美元升长至 8710 亿美元上方,增长超 120 亿美元,其中比特币涨幅约 1.5%,价格略高于 16,600 美元,以太坊在感恩节当天也升至 1,200 美元上方,上涨 4%。另据 DeFiLlama 数据显示,Solana 锁仓量也大幅上涨,过去 24 小时涨幅达到 10%,涨幅最大的来自于 Solana 链上流动质押平台,包括上Lido、Marinade Finance 和 JPool 等。(decrypt)[2022/11/25 8:24:50]

以太坊执行层漏洞赏金排行榜此后至今,Samczsun继续其漏洞披露的惯例,涉及AlphaHomora、DODO、Rari、Tokenlon、ForTube、BendDAO等项目,其中Rari代码漏洞可能会导致Fuse池所有可借用资产被盗。在以太坊基金会公布的以太坊执行层漏洞赏金排行榜上,Samczsun也长期位居第一名。此外,Samczsun还曾助dYdX、GelatoNetwork等项目方紧急处理漏洞事件。其中,最令Samczsun名声大噪的案例当属MISO漏洞事件,帮助项目方避免了高达3.5亿美元的资金损失。2021年8月17日,当Samczsun注意到SushiSwapIDO平台MISO正在进行史上最大规模的IDO时,他随后在Etherscan上打开MISO的智能合约,很快发现initMarket功能没有访问控制,initAuction调用的函数也不包含访问控制检查。具体而言,这个漏洞会MISO错误地处理荷兰式拍卖中的失败事务,即智能合约不会拒绝超过拍卖代币上限的交易,反而是在拍卖结束后退款给用户。因此,攻击者可以利用MISO平台上的漏洞免费竞拍,并获得提交金额和当前出价间的差额退款,直到耗尽合约中的所有资金。也就是说,这个漏洞会使超过该项目募集的10.9万个ETH面临被盗风险。意识到漏洞的严重性后,Samczsun联系到Sushi团队并进行电话会议告知具体漏洞,随后又与项目方密切沟通对智能合约中的资金进行紧急处理,最终在三个小时内解决该次危机。事后,Samczsun获得Sushi团队的100万USDC赏金奖励。在事后接受Immunefi采访时,Samczsun用「兴奋和恐惧的奇怪组合」来描述发现此次漏洞的心情。「兴奋,源于你刚刚找到了你一直在寻找的东西。恐惧,因为时钟正在滴答作响,每过一秒,其他人就会发现同样的错误。我的心率上升与风险量成正比。」经此一役,Samczsun的影响力从安全圈子拓展到整个加密行业,成为行业内最知名的白帽黑客与加密安全研究者。不过,Samczsun的突出贡献也隐约暗示着一个不安与残酷的事实,即加密安全的生态仍然相当脆弱,各类项目的安全意识与防御能力参差不齐,尽管少数像Samczsun的白帽黑客凭借高度的行业责任感与道德感选择向项目方披露,但多数黑客在发现漏洞后选择主动攻击从而实现更多获利。这也导致今年以来各类安全事故仍然接连发生在加密行业,类似Ronin跨链桥被盗超6亿美元、RariCapital被盗8000万美元、BeanstalkFarms被盗超8000万美元等重大安全事件一次又一次冲击着加密社区的信心,并导致DeFi用户遭遇巨大损失。Samczsun的所有贡献,是行业之幸,但也折射出行业之悲。

报告:加密行业Q2因协议漏洞损失超6.7亿美元:金色财经报道,ImmuneFi最新报告称,在2022年二季度,加密行业因协议漏洞损失超过总金额达到670,698,280 美元,相比于去年同期增加了近 50%,但比一季度(超12亿美元)有所下降,其中大部分来自于DeFi协议的黑客攻击,规模最大的四个项目是Beanstalk(1.82 亿美元)、Harmony Horizon Bridge(1 亿美元)、Mirror Protocol(9000 万美元)和 Fei 协议(8000 万美元)。(cryptobreifing)[2022/7/6 1:55:58]

声音 | 华尔街区块链联盟COO:美国政府或再次关闭,监管机构目前重点可能不包括加密行业:据coindesk报道,美国政府已暂时重新开放,然而华尔街区块链联盟首席运营官Steve Ehrlich表示,这是美国历史上最长的关闭,也可能对加密空间产生“一些影响”。Ehrlich认为,最重要的问题是重新开放可能是短暂的。如果国会与美国总统特朗普在2月15日之前无法达成共识,政府将在21天后再次关闭。在更加确定政府不会在21天内再次关闭之前,联邦监管机构将把重点放在为最广泛的人口群体提供服务,并解决他们的最高优先事项,其中可能不包括加密行业的事项。由于不清楚未来的情况是否会更加平静,就会有一些公司试图避免在美国运营,或者通过避免为美国客户提供服务来降低风险,那些致力于为美国客户服务的公司也将面临挑战。[2019/2/2]

标签:SUNAMCSAMEFIsun币怎么样AMC价格SamurinuRestaurant DeFi

火币下载热门资讯
ETH:Nansen复盘加密巨头自救:如何阻止百亿多米诺倾塌

本文经Nansen授权,由Odaily星球日报译者Katie辜编译。 随着前阵时间stETH脱锚事件的进一步发展,围绕这一话题又涌出很多猜测.

1900/1/1 0:00:00
STE:一文盘点值得关注的Move to Earn加密应用

跑步作为门槛最低的日常运动之一,只要你愿意走出家门,就能够参与其中,而把跑步和代币奖励有机结合,帮助STEPN快速建立了可观的用户规模.

1900/1/1 0:00:00
DEF:DeFi大规模去杠杆化对ETH Holder造成怎样的影响?

2022年迄今为止的市场表现低沉,不仅是数字资产,几乎所有资产类别都是如此。全球货币政策收紧、美元升值以及风险资产估值下降,引发了大量追加保证金、债务清算和去杠杆化.

1900/1/1 0:00:00
CRYPTO:浅析加密游戏经济的「赚钱」哲学:P2E是不是链游的一段弯路?

很多游戏的创始人其实都没能实现当初那个梦好的设想:「多年来,玩家们花着自己辛苦赚来的钱,却没有得到任何回报.

1900/1/1 0:00:00
NFT:新项目 | Web3Shop:自带社交属性的NFT周边商城

过去的这半个月,ETHGlobal于线上举办了一场规模盛大的黑客松活动。在6月3日的活动DEMODAY上,共有24家优质的早期项目完成了概念演示,其中一家名为Web3Shop的项目引起了我们的注.

1900/1/1 0:00:00
RED:专访CZ:币安会是Crypto市场的救市主吗?

本文来自WIRED,由Odaily星球日报译者Katie辜编译。 加密市场正处于自由落体状态,在几个月内损失了约2万亿美元。比特币在2021年11月的峰值为6.7万美元,目前徘徊在2万美元左右.

1900/1/1 0:00:00