以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

加密行業頂級白帽黑客Samczsun是如何誕生的?_SAM:AMC

Author:

Time:1900/1/1 0:00:00

作為Paradigm的研究合伙人兼安全主管,Samczsun同時也是加密行業最為知名的白帽黑客,沒有之一。過去幾年,Samczsun通過向項目方私信,至少幫助二十余個項目提前發現系統漏洞,避免了數億美元的損失,包括Sushiswap、ENS、Rari等。DragonflyCapital合伙人Haseeb近期就在一次采訪中稱,他認為Samczsun是在Web3工作的最聰明的人。Paradigm另一名合伙人DanRobinson則將他稱為加密行業的蝙蝠俠。每當加密生態系統中有大量資金處于危險之中時,就會發出蝙蝠信號,Samczsun就會進來幫助挽救局面。那么,Samczsun是如何成為如今的頂級白帽黑客的?

美SEC要求法院駁回Coinbase請愿書,并要求提供針對加密行業的額外監管指導:金色財經報道,美國證券交易委員會 (SEC) 向上訴法院表示,加密貨幣交易所 Coinbase 周一晚間未能證明監管機構需要為數字資產行業創建新的監管框架。聯邦監管機構要求法院駁回 Coinbase 的請愿書,并要求提供針對加密行業的額外監管指導。SEC在表示,美國證券交易委員會尚未就該請愿書做出任何決定,并繼續考慮該文件。

Coinbase 于 2022 年 7 月向美國證券交易委員會提交了最初的請愿書,要求監管機構提供有關數字資產的指導。上個月,加密貨幣交易平臺向美國第三巡回上訴法院提交了強制執行令請愿書,要求其在不斷升級的法律糾紛中迫使監管機構對請愿書作出回應,Coinbase 在同一周提交了對美國證券交易委員會威爾斯通知的回應。[2023/5/16 15:05:50]

「Uup?」這句來自Samczsun的詢問,是任何DeFi項目方最害怕收到的消息之一,因為這很可能意味著Samczsun發現了該項目智能合約存在嚴重漏洞,用戶資產隨時有可能被黑客盜走。在加密世界,各類協議的智能合約漏洞屢見不鮮,成為黑客眼中誘人的「肥肉」。據FootprintAnalytics統計,2021年至少90個DeFi項目遭遇各種攻擊,初始損失金額超過10億美元,給普通用戶帶來極大的損失。不過在黑客肆意妄為的同時,也有許多白帽黑客在幫助項目方提前發掘智能合約漏洞。Samczsun就是加密行業最為知名的匿名白帽黑客,沒有之一。過去幾年,Samczsun通過向項目方私信,至少幫助二十余個項目提前發現系統漏洞,避免了數億美元的損失,包括Sushiswap、ENS、Rari、Tokenlon等。Samczsun的正式身份是著名加密風投機構Paradigm研究合伙人,專注于Paradigm的投資組合公司以及對安全和相關主題的研究,他的所有公開發聲幾乎都是對加密項目漏洞的報告與分析,以保護加密生態的健康發展。盡管Samczsun曾表示會優先考慮審查投資組合公司計劃發布新代碼,但他披露漏洞的項目大部分都并非Paradigm的投資組合項目,例如Sushiswap、ENS、ForTube、Tokenlon等,這也使得他成為對DeFi生態乃至加密行業安全領域貢獻最大、影響力最高的人物之一。DragonflyCapital合伙人Haseeb近期就在一次采訪中稱,他認為samczsun是在Web3工作的最聰明的人。Paradigm另一名合伙人DanRobinson則將他稱為加密行業的蝙蝠俠。每當加密生態系統中有大量資金處于危險之中時,就會發出蝙蝠信號,Samczsun就會進來幫助挽救局面。那么,Samczsun是如何成為如今的頂級白帽黑客的?鏈捕手在本文中將通過公開資料對他的過往經歷進行大致的梳理與歸納。從Samczsun的社交媒體資料來看,其最早的網絡動態是在2014年11月,當月他加入Github并在11-12月做出114項貢獻。Samczsun最早可追蹤的漏洞挖掘記錄則是在2016年1月,當時他在推特@Enjin官方推特,表示有嚴重的安全問題需要解決,隨后Enjin官推回復并提供了一個報告提交鏈接。這個Enjin,就是如今熱門NFT游戲平臺Enjin,不過當時該項目尚未進入加密與NFT賽道。

與Alameda有關聯的美國法明頓州立銀行停止加密行業服務:1月20日消息,美國法明頓州立銀行(Farmington State Bank)周四宣布將回歸其作為社區銀行的最初使命,并停止針對加密資產或大麻等行業開發銀行服務的創新驅動型商業模式。該銀行將停止使用“Moonstone Bank”的名稱,轉而以“法明頓州立銀行”的名義開展業務。(CoinDesk)

據此前紐約時報報道,FTX與美國法明頓州立銀行的關系引發質疑。法明頓州立銀行此前已更名為Moonstone Bank。去年三月Alameda Research對其母公司FBH投資1150萬美元并獲得該行股份,當前該行擁有一家分行和8400萬美元的存款,其中7100萬美元存在四個賬戶中。據悉,法明頓州立銀行母公司FBH董事長是Jean Chalopin,他也是Deltec Bank董事長,而USDT發行方Tether的儲備金就存儲在Deltec Bank。[2023/1/20 11:22:22]

巴拉圭議員:比特幣監管法案草案為該國加密行業提供了明確的監管框架:巴拉圭議員Carlos Rejala發推稱,巴拉圭比特幣監管法案將使我們能夠保護和優化我們的可再生能源。該法案草案為加密行業提供了明確的監管框架,以吸引外國投資,并通過處理、交易或保管數字資產的實踐保護巴拉圭消費者。該法案通過主動和明確的監督來預防洗錢,使投資者在巴拉圭投資加密資產時獲得法律和財政保障。[2021/7/15 0:54:40]

2017年,Samczsun在漏洞賞金平臺Hackerone提交多個項目漏洞,包括印度版美團Zomato、法律合同分析公司LegalRobot,并在博客發布過多篇漏洞分析文章。Samczsun首次公開對DeFi協議漏洞進行調查研究是在2019年7月,彼時他向0x協議披露其存在的一個智能合約漏洞,允許惡意行為者代表任何已批準的0x合約花費其資產的外部擁有賬戶(EOA)創建有效訂單,項目方也不得不關閉協議來修補漏洞,并從頭開始部署0xv2.1智能合約。在這次漏洞事件中,Samczsun獲得了10萬美元賞金。Samczsun也從此正式開啟白帽黑客之路,以相當高產的漏洞研究迅速在DeFi行業走紅。此后一年,伴隨著2020年的「DeFi之夏」熱潮,Samczsun又發現了ENS、Livepeer、bZxNetwork、CurveFinance等諸多加密項目的潛在漏洞。其中,CurveFinance的漏洞可以使任何人都可以利用該漏洞耗盡智能合約,ENS漏洞可以使ENS用戶通過某種方式在將所有權轉讓給其他人后再度取回所有權,這些都是對項目發展產生重大負面影響的漏洞,足見Samczsun貢獻之大。「構建軟件的一個常見誤解是,如果系統中的每個組件都經過單獨驗證是安全的,那么系統本身也是安全的。這種信念在DeFi中得到了最好的說明,在DeFi中,可組合性是開發人員的第二天性。不幸的是,雖然組合兩個組件在大多數情況下可能是安全的,但只需要一個漏洞就會對數百甚至數千名無辜用戶造成嚴重的經濟損失。」Samczsun在發現眾多DeFi項目漏洞后做出如是總結,「安全的組件也可以聚集在一起,使得某些東西變得不安全。」2020年初,Samczsun還在Gitcoin平臺發起贈款,并成為Gitocin第五輪贈款活動募資最多的對象。同期,Samczsun也加入加密安全公司TrailofBits擔任安全工程師。至2020年9月,已經在DeFi安全領域頗具名氣的Samczsun在Paradigm創始人邀請下,成為該投資機構的研究合伙人,以「幫助評估潛在投資組合公司的安全狀況,協助當前投資組合公司,推進以太坊生態系統的整體安全。」

CoinDesk報告:加密行業第一季度機構活動放緩,散戶興趣增加:根據CoinDesk Research撰寫的《2021年季度評論》,盡管2020年第四季度的行業增長主要是由機構對資產市場和基礎設施的參與推動的,但2021年第一季度機構投資者的活動似乎正在放緩,這種情況至少持續了幾個月。但是,某些指標表明散戶投資者和交易員的興趣正在增加,帶來了新的流量和投資模式。[2021/4/7 19:53:09]

以太坊執行層漏洞賞金排行榜此后至今,Samczsun繼續其漏洞披露的慣例,涉及AlphaHomora、DODO、Rari、Tokenlon、ForTube、BendDAO等項目,其中Rari代碼漏洞可能會導致Fuse池所有可借用資產被盜。在以太坊基金會公布的以太坊執行層漏洞賞金排行榜上,Samczsun也長期位居第一名。此外,Samczsun還曾助dYdX、GelatoNetwork等項目方緊急處理漏洞事件。其中,最令Samczsun名聲大噪的案例當屬MISO漏洞事件,幫助項目方避免了高達3.5億美元的資金損失。2021年8月17日,當Samczsun注意到SushiSwapIDO平臺MISO正在進行史上最大規模的IDO時,他隨后在Etherscan上打開MISO的智能合約,很快發現initMarket功能沒有訪問控制,initAuction調用的函數也不包含訪問控制檢查。具體而言,這個漏洞會MISO錯誤地處理荷蘭式拍賣中的失敗事務,即智能合約不會拒絕超過拍賣代幣上限的交易,反而是在拍賣結束后退款給用戶。因此,攻擊者可以利用MISO平臺上的漏洞免費競拍,并獲得提交金額和當前出價間的差額退款,直到耗盡合約中的所有資金。也就是說,這個漏洞會使超過該項目募集的10.9萬個ETH面臨被盜風險。意識到漏洞的嚴重性后,Samczsun聯系到Sushi團隊并進行電話會議告知具體漏洞,隨后又與項目方密切溝通對智能合約中的資金進行緊急處理,最終在三個小時內解決該次危機。事后,Samczsun獲得Sushi團隊的100萬USDC賞金獎勵。在事后接受Immunefi采訪時,Samczsun用「興奮和恐懼的奇怪組合」來描述發現此次漏洞的心情。「興奮,源于你剛剛找到了你一直在尋找的東西。恐懼,因為時鐘正在滴答作響,每過一秒,其他人就會發現同樣的錯誤。我的心率上升與風險量成正比。」經此一役,Samczsun的影響力從安全圈子拓展到整個加密行業,成為行業內最知名的白帽黑客與加密安全研究者。不過,Samczsun的突出貢獻也隱約暗示著一個不安與殘酷的事實,即加密安全的生態仍然相當脆弱,各類項目的安全意識與防御能力參差不齊,盡管少數像Samczsun的白帽黑客憑借高度的行業責任感與道德感選擇向項目方披露,但多數黑客在發現漏洞后選擇主動攻擊從而實現更多獲利。這也導致今年以來各類安全事故仍然接連發生在加密行業,類似Ronin跨鏈橋被盜超6億美元、RariCapital被盜8000萬美元、BeanstalkFarms被盜超8000萬美元等重大安全事件一次又一次沖擊著加密社區的信心,并導致DeFi用戶遭遇巨大損失。Samczsun的所有貢獻,是行業之幸,但也折射出行業之悲。

日本加密行業KOL藤本真衣與Enjin合作,推出NFT慈善項目:日本加密貨幣行業知名KOL、Gracone Inc創始人兼CEO藤本真衣(Mai Fujimoto)與區塊鏈游戲開發平臺Enjin合作,推出NFT慈善項目。該項目將出售日本名人的代幣化藝術品,并在加密捐贈平臺Kizuna上運行,以向DxP捐款。DxP是一家非營利性組織,為在疫情期間需要幫助的青少年提供支持。(Cointelegraph)[2021/1/18 16:27:50]

Tags:SAMAMCSUNEFIKusunoki SamuraiITAMCUBE價格LogosunauxVerify DeFi

比特幣最新價格
JZL Capital:緩慢走向死亡的WAVES和USDN_WAVES:CCO Metaverse

第一部分Waves簡介 1.概述Waves是layer1公鏈,鏈上應用主要為穩定幣、儲蓄、交易所和外匯兌換.

1900/1/1 0:00:00
World Innovation Lab為多支新基金融資10億美元,將關注Web3領域_WOR:MUCNFT幣

本文來自BusinessWireOdaily星球日報譯者|念銀思唐 風投機構WorldInnovationLab今天宣布完成超10億美元融資.

1900/1/1 0:00:00
?DAOrayaki:更新DAO的操作系統_DAO:The Swappery

原文作者:siddhearta原文標題:UpdatingtheDAOOperatingSystem本文深入探討了DAO的操作系統。作者認為所有的組織都需要操作系統,DAO也不例外.

1900/1/1 0:00:00
摩根大通:加密貨幣已取代房地產成為首選替代資產之一_加密貨幣:TRO

Odaily星球日報譯者|念銀思唐 摘要: -摩根大通認為比特幣公允價格比當前水平高出28%,并補充說,它在加密市場看到了機會.

1900/1/1 0:00:00
縱覽a16z的Web3投資版圖:投資項目數量超80個,涵蓋幾乎所有Web3賽道_NFT:EFI

撰文:BabywhaleAndreessenHorowitz成立于2009年,兩位創始人MarcLowellAndreessen和BenHorowitz將各自的姓氏組合成了這家知名風投公司的名字.

1900/1/1 0:00:00
只用作治理的OP,會不會再次重現ENS、UNI之殤?_OPT:TIMI

撰文:0xMorty這個話題其實有點大,但我確實想聊一下這件事情。很多人詬病ENS的問題就是沒有實質性的賦能,只做治理用,之前ENS的大幅上漲來自于人們對于協議產品的肯定以及對于ENS治理權利的.

1900/1/1 0:00:00
ads