「Uup?」??
这句来自samczsun的询问,是任何DeFi项目方最害怕收到的消息之一,因为这很可能意味着samczsun发现了该项目智能合约存在严重漏洞,用户资产随时有可能被黑客盗走。
在加密世界,各类协议的智能合约漏洞屡见不鲜,成为黑客眼中诱人的「肥肉」。据FootprintAnalytics统计,2021年至少90个DeFi项目遭遇各种攻击,初始损失金额超过10亿美元,给普通用户带来极大的损失。不过在黑客肆意妄为的同时,也有许多白帽黑客在帮助项目方提前发掘智能合约漏洞。
Galaxy Digital赴美上市计划或因Luna相关诉讼再次延迟:8月3日消息,若一项与 Luna 有关的未决诉讼被认定为集体诉讼,加拿大加密投资公司 Galaxy Digital 在纳斯达克上市的计划可能会面临新的延迟。该案于去年 12 月在加拿大安大略省高等法院提起,原告指控 Galaxy 首席执行官 Mike Novogratz 在 Luna 崩盘之前就公司对加密货币的风险做出了虚假陈述。Galaxy 计划对这些指控进行抗辩。
由于该案在审理过程中可能出现新的证据。律所 Scott & Scott 的 Sean Masson 律师表示,Galaxy Digital 在美国上市的努力可能会再次受阻。[2023/8/3 16:16:08]
samczsun就是加密行业最为知名的白帽黑客,没有之一。过去几年,samczsun通过向项目方私信,至少帮助二十余个项目提前发现系统漏洞,避免了数亿美元的损失,包括Sushiswap、ENS、Rari、Tokenlon等。
samczsun的正式身份是著名加密风投机构Paradigm研究合伙人,专注于Paradigm的投资组合公司以及对安全和相关主题的研究,他的所有公开发声几乎都是对加密项目漏洞的报告与分析,以保护加密生态的健康发展。
MarkerDAO创始人于20小时前和13小时前以1044美元买入MKR:金色财经报道,据Spot On Chain监测显示,MKR过去24小时内增长16%。MakerDAO创始人于20小时和13小时前以1,044美元购买MKR。a16z 14小时前以1,035美元存入1500枚MKR至Coinbase。CMS 1小时前以1,186美元存入525枚MKR至Binance。MarkerDAO创始人RuneKek在过去一周以998.2美元的平均价格总共买入了1,613枚MKR,并在20小时前从Uniswap流动性池中删除了300.7枚MKR和305800枚DAI。
a16z在过去4天内每天以平均970.35美元的价格向Coinbase存入MKR(总计6,003枚MKR,约合583万美元)。a16z还将6900MKR(808万美元)转移到新钱包0x127。
从6月26日到14小时前,HoldingCms从Binance和Biget总共累积了1,325枚MKR,平均价格为799.5美元,刚才以1,186美元的价格将525枚MKR存入Binance如果真正卖出,将实现约20.3万美元的利润(投资回报率:48.3%)。[2023/7/21 15:50:09]
尽管samczsun曾表示会优先考虑审查投资组合公司计划发布新代码,但他披露漏洞的项目大部分都并非Paradigm的投资组合项目,例如Sushiswap、ENS、ForTube、Tokenlon等,这也使得他成为对DeFi生态乃至加密行业安全领域贡献最大、影响力最高的人物之一。
数据:BTC非流动性供应量达1520万枚历史新高,尽管面临监管风险但市场需求仍存:金色财经报道,区块链分析公司Glassnode披露数据显示,尽管近期面临监管风险,但市场仍然存在比特币需求。本周,非流动供应量达到了新的历史最高点,达到1520万枚BTC,而交易所余额已经下降到自2018年1月以来的最低水平,为230万枚BTC。持有100枚BTC以下的实体正在显著增加持仓,在过去一个月内吸收了相当于矿工供应的254%(即每日产出900枚BTC的2.54倍,约等于每天2286枚BTC);持有100到1k BTC的实体余额变化转正,吸收了相当于挖矿供应量的36%;持有大约100 BTC的巨鲸实体与矿工一样成为净卖方,释放出的资产相当于挖矿供应量的70%。[2023/6/24 21:57:08]
DragonflyCapital合伙人Haseeb近期就在采访中称,他认为samczsun是在Web3工作的最聪明的人。Paradigm另一名合伙人DanRobinson则将他称为加密行业的蝙蝠侠。每当加密生态系统中有大量资金处于危险之中时,就会发出蝙蝠信号,samczsun就会进来帮助挽救局面。
Web3流媒体平台Fireside收购开放电视平台Stremium:金色财经报道,由NBA达拉斯独行侠队老板马克·库班支持的交互式Web3流媒体平台Fireside宣布已完成对开放电视平台Stremium的收购,但目前包括交易金额在内的相关收购条款暂未对外披露,库班确认了这笔交易但没有发表其他公开评论。此次收购将帮助Fireside将其内容拓展到传统电视大屏幕上,另据报道称,Fireside近期还在探索其他Web3技术,包括NFT。(Tech Crunch)[2022/11/24 8:04:07]
那么,samczsun是如何成为如今的顶级白帽黑客的?链捕手在本文中将通过公开资料对他的过往经历进行大致的梳理与归纳。
从samczsun的社交媒体资料来看,其最早的网络动态是在2014年11月,当月他加入Github并在11-12月做出114项贡献。
samczsun最早可追踪的漏洞挖掘记录则是在2016年1月,当时他在推特@Enjin官方推特,表示有严重的安全问题需要解决,随后Enjin官推回复并提供了一个报告提交链接。这个Enjin,就是如今热门NFT游戏平台Enjin,不过当时该项目尚未进入加密与NFT赛道。
OKX已在巴哈马获得数字资产许可证:金色财经报道,加密交易所OKX已在巴哈马获得数字资产许可证,并计划在未来12个月内招聘超100名员工。[2022/11/4 12:15:08]
2017年,samczsun在漏洞赏金平台Hackerone提交多个项目漏洞,包括印度版美团Zomato、法律合同分析公司LegalRobot,并在博客发布过多篇漏洞分析文章。
samczsun首次公开对DeFi协议漏洞进行调查研究是在2019年7月,彼时他向0x协议披露其存在的一个智能合约漏洞,允许恶意行为者代表任何已批准的0x合约花费其资产的外部拥有账户(EOA)创建有效订单,项目方也不得不关闭协议来修补漏洞,并从头开始部署0xv2.1智能合约。在这次漏洞事件中,samczsun获得了10万美元赏金。
samczsun也从此正式开启白帽黑客之路,以相当高产的漏洞研究迅速在DeFi行业走红。
此后一年,伴随着2020年的「De-Fi之夏」热潮,Samczsun又发现了ENS、Livepeer、bZxNetwork、CurveFinance等诸多加密项目的潜在漏洞。
其中,CurveFinance的漏洞可以使任何人都可以利用该漏洞耗尽智能合约,ENS漏洞可以使ENS用户通过某种方式在将所有权转让给其他人后再度取回所有权,这些都是对项目发展产生重大负面影响的漏洞,足见samczsun贡献之大。
「构建软件的一个常见误解是,如果系统中的每个组件都经过单独验证是安全的,那么系统本身也是安全的。这种信念在DeFi中得到了最好的说明,在DeFi中,可组合性是开发人员的第二天性。不幸的是,虽然组合两个组件在大多数情况下可能是安全的,但只需要一个漏洞就会对数百甚至数千名无辜用户造成严重的经济损失。」Samczsun在发现众多DeFi项目漏洞后做出如是总结,「安全的组件也可以聚集在一起,使得某些东西变得不安全。」
2020年初,samczsun还在Gitcoin平台发起赠款,并成为Gitocin第五轮赠款活动募资最多的对象。同期,samczsun也加入加密安全公司TrailofBits担任安全工程师。
至2020年9月,已经在DeFi安全领域颇具名气的samczsun在Paradigm创始人邀请下,成为该投资机构的研究合伙人,以「帮助评估潜在投资组合公司的安全状况,协助当前投资组合公司,推进以太坊生态系统的整体安全。」
以太坊执行层漏洞赏金排行榜此后至今,samczsun继续其漏洞披露的惯例,涉及AlphaHomora、DODO、Rari、Tokenlon、ForTube、BendDAO等项目,其中Rari代码漏洞可能会导致Fuse池所有可借用资产被盗。在以太坊基金会公布的以太坊执行层漏洞赏金排行榜上,Samczsun也长期位居第一名。此外,samczsun还曾助dYdX、GelatoNetwork等项目方紧急处理漏洞事件。
其中,最令samczsun名声大噪的案例当属MISO漏洞事件,帮助项目方避免了高达3.5亿美元的资金损失。
2021年8月17日,当samczsun注意到SushiSwapIDO平台MISO正在进行史上最大规模的IDO时,他随后在Etherscan上打开MISO的智能合约,很快发现initMarket功能没有访问控制,initAuction调用的函数也不包含访问控制检查。
具体而言,这个漏洞会MISO错误地处理荷兰式拍卖中的失败事务,即智能合约不会拒绝超过拍卖Token上限的交易,反而是在拍卖结束后退款给用户。因此,攻击者可以利用MISO平台上的漏洞免费竞拍,并获得提交金额和当前出价间的差额退款,直到耗尽合约中的所有资金。也就是说,这个漏洞会使超过该项目募集的10.9万个ETH面临被盗风险。
意识到漏洞的严重性后,samczsun联系到Sushi团队并进行电话会议告知具体漏洞,随后又与项目方密切沟通对智能合约中的资金进行紧急处理,最终在三个小时内解决该次危机。事后,Samczsun获得Sushi团队的100万USDC赏金奖励。
在事后接受Immunefi采访时,samczsun用「兴奋和恐惧的奇怪组合」来描述发现此次漏洞的心情。「兴奋,源于你刚刚找到了你一直在寻找的东西。恐惧,因为时钟正在滴答作响,每过一秒,其他人就会发现同样的错误。我的心率上升与风险量成正比。」
经此一役,samczsun的影响力从安全圈子拓展到整个加密行业,成为行业内最知名的白帽黑客与加密安全研究者。
不过,samczsun的突出贡献也隐约暗示着一个不安与残酷的事实,即加密安全的生态仍然相当脆弱,尽管少数像Samczsun的白帽黑客凭借高度的行业责任感与道德感选择向项目方披露,但大多数黑客在发现漏洞后选择主动攻击从而实现更多获利。
这也导致今年以来各类安全事故仍然接连发生在加密行业,类似Ronin跨链桥被盗超6亿美元、RariCapital被盗8000万美元、BeanstalkFarms被盗超8000万美元等事件一次又一次冲击着加密社区的信心。
samczsun的所有贡献,是行业之幸,但也折射出行业之悲。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。