AMC:加密行业顶级白帽黑客Samczsun是如何诞生的?

作为Paradigm的研究合伙人兼安全主管,Samczsun同时也是加密行业最为知名的白帽黑客,没有之一。过去几年,Samczsun通过向项目方私信,至少帮助二十余个项目提前发现系统漏洞,避免了数亿美元的损失,包括Sushiswap、ENS、Rari等。DragonflyCapital合伙人Haseeb近期就在一次采访中称,他认为Samczsun是在Web3工作的最聪明的人。Paradigm另一名合伙人DanRobinson则将他称为加密行业的蝙蝠侠。每当加密生态系统中有大量资金处于危险之中时,就会发出蝙蝠信号,Samczsun就会进来帮助挽救局面。那么,Samczsun是如何成为如今的顶级白帽黑客的?

法国加密行业游说团体:加密推广禁令将损害法国对Web3的吸引力:金色财经报道,法国加密行业的游说团体Adan表示,禁止社交媒体影响者推广未经许可的加密产品的计划将损害法国对全球Web3参与者的吸引力。议员们支持议会经济委员会上周提出的一项举措,该举措旨在阻止涉及高风险金融产品、药品和化妆品的有害推广活动。Adan表示,在该行业准备实施更严格的注册制度之前,该批准对该行业造成了额外的打击,将创新推向了其他国家,该组织希望参议院的辩论能够重新建立一个更适合Web3所有创新发展的版本,同时保证消费者保护。[2023/3/31 13:36:34]

「Uup?」这句来自Samczsun的询问,是任何DeFi项目方最害怕收到的消息之一,因为这很可能意味着Samczsun发现了该项目智能合约存在严重漏洞,用户资产随时有可能被黑客盗走。在加密世界,各类协议的智能合约漏洞屡见不鲜,成为黑客眼中诱人的「肥肉」。据FootprintAnalytics统计,2021年至少90个DeFi项目遭遇各种攻击,初始损失金额超过10亿美元,给普通用户带来极大的损失。不过在黑客肆意妄为的同时,也有许多白帽黑客在帮助项目方提前发掘智能合约漏洞。Samczsun就是加密行业最为知名的匿名白帽黑客,没有之一。过去几年,Samczsun通过向项目方私信,至少帮助二十余个项目提前发现系统漏洞,避免了数亿美元的损失,包括Sushiswap、ENS、Rari、Tokenlon等。Samczsun的正式身份是著名加密风投机构Paradigm研究合伙人,专注于Paradigm的投资组合公司以及对安全和相关主题的研究,他的所有公开发声几乎都是对加密项目漏洞的报告与分析,以保护加密生态的健康发展。尽管Samczsun曾表示会优先考虑审查投资组合公司计划发布新代码,但他披露漏洞的项目大部分都并非Paradigm的投资组合项目,例如Sushiswap、ENS、ForTube、Tokenlon等,这也使得他成为对DeFi生态乃至加密行业安全领域贡献最大、影响力最高的人物之一。DragonflyCapital合伙人Haseeb近期就在一次采访中称,他认为samczsun是在Web3工作的最聪明的人。Paradigm另一名合伙人DanRobinson则将他称为加密行业的蝙蝠侠。每当加密生态系统中有大量资金处于危险之中时,就会发出蝙蝠信号,Samczsun就会进来帮助挽救局面。那么,Samczsun是如何成为如今的顶级白帽黑客的?链捕手在本文中将通过公开资料对他的过往经历进行大致的梳理与归纳。从Samczsun的社交媒体资料来看,其最早的网络动态是在2014年11月,当月他加入Github并在11-12月做出114项贡献。Samczsun最早可追踪的漏洞挖掘记录则是在2016年1月,当时他在推特@Enjin官方推特,表示有严重的安全问题需要解决,随后Enjin官推回复并提供了一个报告提交链接。这个Enjin,就是如今热门NFT游戏平台Enjin,不过当时该项目尚未进入加密与NFT赛道。

美前检察官:监管机构通过SBF被捕向加密行业“传递信息”:金色财经报道,美国司法部证券和商品欺诈部门前检察官Renato Mariotti表示,FTX前首席执行官SBF的被捕为美国政府监管机构提供了一种向加密行业“发送信息”的方式。Mariotti谈到SBF的一系列媒体露面时说“从司法部的角度来看,SBF正在传播错误信息,并导致监管机构对监管市场缺乏信心。”Mariotti表示,SBF很可能会被当作加密行业需要更多监管的原因。加密行业可能会在短期内面临来自美国证券交易委员会(SEC)的“大量执法行动”。(CoinDesk)[2022/12/16 21:47:48]

2017年,Samczsun在漏洞赏金平台Hackerone提交多个项目漏洞,包括印度版美团Zomato、法律合同分析公司LegalRobot,并在博客发布过多篇漏洞分析文章。Samczsun首次公开对DeFi协议漏洞进行调查研究是在2019年7月,彼时他向0x协议披露其存在的一个智能合约漏洞,允许恶意行为者代表任何已批准的0x合约花费其资产的外部拥有账户(EOA)创建有效订单,项目方也不得不关闭协议来修补漏洞,并从头开始部署0xv2.1智能合约。在这次漏洞事件中,Samczsun获得了10万美元赏金。Samczsun也从此正式开启白帽黑客之路,以相当高产的漏洞研究迅速在DeFi行业走红。此后一年,伴随着2020年的「DeFi之夏」热潮,Samczsun又发现了ENS、Livepeer、bZxNetwork、CurveFinance等诸多加密项目的潜在漏洞。其中,CurveFinance的漏洞可以使任何人都可以利用该漏洞耗尽智能合约,ENS漏洞可以使ENS用户通过某种方式在将所有权转让给其他人后再度取回所有权,这些都是对项目发展产生重大负面影响的漏洞,足见Samczsun贡献之大。「构建软件的一个常见误解是,如果系统中的每个组件都经过单独验证是安全的,那么系统本身也是安全的。这种信念在DeFi中得到了最好的说明,在DeFi中,可组合性是开发人员的第二天性。不幸的是,虽然组合两个组件在大多数情况下可能是安全的,但只需要一个漏洞就会对数百甚至数千名无辜用户造成严重的经济损失。」Samczsun在发现众多DeFi项目漏洞后做出如是总结,「安全的组件也可以聚集在一起,使得某些东西变得不安全。」2020年初,Samczsun还在Gitcoin平台发起赠款,并成为Gitocin第五轮赠款活动募资最多的对象。同期,Samczsun也加入加密安全公司TrailofBits担任安全工程师。至2020年9月,已经在DeFi安全领域颇具名气的Samczsun在Paradigm创始人邀请下,成为该投资机构的研究合伙人,以「帮助评估潜在投资组合公司的安全状况,协助当前投资组合公司,推进以太坊生态系统的整体安全。」

FTX倒闭后市场首现反弹迹象,过去24小时加密行业总市值增长超120亿美元:金色财经报道,FTX 倒闭后市场首现反弹迹象,过去 24 小时加密行业总市值从 8570 亿美元升长至 8710 亿美元上方,增长超 120 亿美元,其中比特币涨幅约 1.5%,价格略高于 16,600 美元,以太坊在感恩节当天也升至 1,200 美元上方,上涨 4%。另据 DeFiLlama 数据显示,Solana 锁仓量也大幅上涨,过去 24 小时涨幅达到 10%,涨幅最大的来自于 Solana 链上流动质押平台,包括上Lido、Marinade Finance 和 JPool 等。(decrypt)[2022/11/25 8:24:50]

以太坊执行层漏洞赏金排行榜此后至今,Samczsun继续其漏洞披露的惯例,涉及AlphaHomora、DODO、Rari、Tokenlon、ForTube、BendDAO等项目,其中Rari代码漏洞可能会导致Fuse池所有可借用资产被盗。在以太坊基金会公布的以太坊执行层漏洞赏金排行榜上,Samczsun也长期位居第一名。此外,Samczsun还曾助dYdX、GelatoNetwork等项目方紧急处理漏洞事件。其中,最令Samczsun名声大噪的案例当属MISO漏洞事件,帮助项目方避免了高达3.5亿美元的资金损失。2021年8月17日,当Samczsun注意到SushiSwapIDO平台MISO正在进行史上最大规模的IDO时,他随后在Etherscan上打开MISO的智能合约,很快发现initMarket功能没有访问控制,initAuction调用的函数也不包含访问控制检查。具体而言,这个漏洞会MISO错误地处理荷兰式拍卖中的失败事务,即智能合约不会拒绝超过拍卖代币上限的交易,反而是在拍卖结束后退款给用户。因此,攻击者可以利用MISO平台上的漏洞免费竞拍,并获得提交金额和当前出价间的差额退款,直到耗尽合约中的所有资金。也就是说,这个漏洞会使超过该项目募集的10.9万个ETH面临被盗风险。意识到漏洞的严重性后,Samczsun联系到Sushi团队并进行电话会议告知具体漏洞,随后又与项目方密切沟通对智能合约中的资金进行紧急处理,最终在三个小时内解决该次危机。事后,Samczsun获得Sushi团队的100万USDC赏金奖励。在事后接受Immunefi采访时,Samczsun用「兴奋和恐惧的奇怪组合」来描述发现此次漏洞的心情。「兴奋,源于你刚刚找到了你一直在寻找的东西。恐惧,因为时钟正在滴答作响,每过一秒,其他人就会发现同样的错误。我的心率上升与风险量成正比。」经此一役,Samczsun的影响力从安全圈子拓展到整个加密行业,成为行业内最知名的白帽黑客与加密安全研究者。不过,Samczsun的突出贡献也隐约暗示着一个不安与残酷的事实,即加密安全的生态仍然相当脆弱,各类项目的安全意识与防御能力参差不齐,尽管少数像Samczsun的白帽黑客凭借高度的行业责任感与道德感选择向项目方披露,但多数黑客在发现漏洞后选择主动攻击从而实现更多获利。这也导致今年以来各类安全事故仍然接连发生在加密行业,类似Ronin跨链桥被盗超6亿美元、RariCapital被盗8000万美元、BeanstalkFarms被盗超8000万美元等重大安全事件一次又一次冲击着加密社区的信心,并导致DeFi用户遭遇巨大损失。Samczsun的所有贡献,是行业之幸,但也折射出行业之悲。

印度加密行业计划向政府机构提交建议以阻止禁令实施:印度加密货币交易所WazirX的首席执行官Nischal Shetty和该行业的其他利益相关者正在努力说服政府采用更细致的加密货币法规。据悉,印度的区块链和加密货币委员会起草了一份报告,强调对印度加密货币监管的建议。该委员会提议的监管框架包含了解决和印度卢比货币主权受到威胁等问题的措施。Shetty表示,鉴于政府当局对加密货币持有负面态度,该国加密货币利益相关者采取积极措施已成为必要。因此,该委员会计划向电子和信息技术部以及经济部等政府机构提交其建议。(Cointelegraph)[2021/3/30 19:27:28]

Cardano基金会新任CEO:核心任务之一是填补主流市场与加密行业间的“信任鸿沟”:即将就任Cardano基金会首席执行官的Frederik Gregaard在接受采访时表示,尽管还没有正式就任CEO,但应该会在11月1日之前到职,具体日期仍不确定。

Gregaard认为,人们对开源公链有一种天然的偏见,即“信任鸿沟”。整个加密货币领域只有10年的历史,于此同时,许多知名企业已经存在了几十年,甚至几百年。这些大公司的商业计划可能比像Cardano这样的现有项目涵盖更长的时间范围。此外,加密项目的平均预期寿命往往很低,这不是什么秘密。许多与加密货币有关的局和非法联系(通常被媒体放大)加剧了这种情况,在企业用户眼中,这些都给加密行业带来了不相称的声誉。如果一个大公司选择将区块链作为其核心用例之一,那么它需要确保所选择的协议在可预见的将来能够继续得到适当的维护。对这一承诺缺乏保证已经导致了Gregaard所说的“信任鸿沟”,而他的核心任务之一就是填补这一鸿沟。(Cointelegraph)[2020/9/30]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-0:891ms