以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

長期位居以太坊執行層漏洞賞金榜榜首 Samczsun的白帽黑客之路_SAM

Author:

Time:1900/1/1 0:00:00

「Uup?」??

這句來自samczsun的詢問,是任何DeFi項目方最害怕收到的消息之一,因為這很可能意味著samczsun發現了該項目智能合約存在嚴重漏洞,用戶資產隨時有可能被黑客盜走。

在加密世界,各類協議的智能合約漏洞屢見不鮮,成為黑客眼中誘人的「肥肉」。據FootprintAnalytics統計,2021年至少90個DeFi項目遭遇各種攻擊,初始損失金額超過10億美元,給普通用戶帶來極大的損失。不過在黑客肆意妄為的同時,也有許多白帽黑客在幫助項目方提前發掘智能合約漏洞。

samczsun就是加密行業最為知名的白帽黑客,沒有之一。過去幾年,samczsun通過向項目方私信,至少幫助二十余個項目提前發現系統漏洞,避免了數億美元的損失,包括Sushiswap、ENS、Rari、Tokenlon等。

Arbitrum生態永續交易平臺Vela Exchange測試版上線時間推遲至1月31日:1月18日消息,Arbitrum生態永續交易平臺Vela Exchange在其社交平臺表示,為保證為社區用戶提供最佳體驗,測試版上線時間推遲至1月31日。此前團隊曾宣布測試版將于1月18日上線,并明確表示部分Token將空投給社區成員。[2023/1/18 11:18:35]

samczsun的正式身份是著名加密風投機構Paradigm研究合伙人,專注于Paradigm的投資組合公司以及對安全和相關主題的研究,他的所有公開發聲幾乎都是對加密項目漏洞的報告與分析,以保護加密生態的健康發展。

盡管samczsun曾表示會優先考慮審查投資組合公司計劃發布新代碼,但他披露漏洞的項目大部分都并非Paradigm的投資組合項目,例如Sushiswap、ENS、ForTube、Tokenlon等,這也使得他成為對DeFi生態乃至加密行業安全領域貢獻最大、影響力最高的人物之一。

DragonflyCapital合伙人Haseeb近期就在采訪中稱,他認為samczsun是在Web3工作的最聰明的人。Paradigm另一名合伙人DanRobinson則將他稱為加密行業的蝙蝠俠。每當加密生態系統中有大量資金處于危險之中時,就會發出蝙蝠信號,samczsun就會進來幫助挽救局面。

澳大利亞ASIC已起訴BPS Financial:金色財經報道,澳大利亞ASIC已起訴 BPS Financial 涉嫌對其加密資產 Qoin 的誤導性陳述。澳大利亞證券和投資委員會 (ASIC)在一份聲明中表示,BPS就其于 2019 年推出的用于促進商品和服務支付的數字貨幣 Qoin 做出了誤導性陳述并從事了未經許可的行為。BPS 的網站聲稱持有者可以在近 38,000 家商戶中使用 Qoin。ASIC認為這不是真的。它聲稱該公司夸大了使用Qoin并且受到監管的商家數量。

BPS對這些說法提出異議,并表示已就該項目與ASIC進行了協商。[2022/10/25 16:38:22]

那么,samczsun是如何成為如今的頂級白帽黑客的?鏈捕手在本文中將通過公開資料對他的過往經歷進行大致的梳理與歸納。

從samczsun的社交媒體資料來看,其最早的網絡動態是在2014年11月,當月他加入Github并在11-12月做出114項貢獻。

samczsun最早可追蹤的漏洞挖掘記錄則是在2016年1月,當時他在推特@Enjin官方推特,表示有嚴重的安全問題需要解決,隨后Enjin官推回復并提供了一個報告提交鏈接。這個Enjin,就是如今熱門NFT游戲平臺Enjin,不過當時該項目尚未進入加密與NFT賽道。

數據:近24小時全網爆倉2.4億美元,以太坊爆倉8914萬美元:金色財經報道,據Coinglass數據,近24小時全網爆倉2.41億美元,其中以太坊爆倉8914.32萬美元,比特幣爆倉5574.89萬美元,SHIB爆倉1384.02萬美元。[2022/8/15 12:25:45]

2017年,samczsun在漏洞賞金平臺Hackerone提交多個項目漏洞,包括印度版美團Zomato、法律合同分析公司LegalRobot,并在博客發布過多篇漏洞分析文章。

samczsun首次公開對DeFi協議漏洞進行調查研究是在2019年7月,彼時他向0x協議披露其存在的一個智能合約漏洞,允許惡意行為者代表任何已批準的0x合約花費其資產的外部擁有賬戶(EOA)創建有效訂單,項目方也不得不關閉協議來修補漏洞,并從頭開始部署0xv2.1智能合約。在這次漏洞事件中,samczsun獲得了10萬美元賞金。

Glassnode:長期持有者掌握80%的比特幣流通供應:金色財經消息,Glassnode數據顯示,80%的比特幣流通供應掌握在長期持有者(LTHs)手中。LTH指持有比特幣至少6個月的用戶,通常是對比特幣市場周期底部形成強有力支撐的人。LTH在比特幣市場被認為是“smart money”,他們通常在市場低迷期間積累比特幣。一旦進入牛市,LTH就會分配積累的比特幣,并獲得大部分利潤,鏈上數據有力地支持了這一理論。(Crypto Slate)[2022/7/23 2:33:21]

samczsun也從此正式開啟白帽黑客之路,以相當高產的漏洞研究迅速在DeFi行業走紅。

此后一年,伴隨著2020年的「De-Fi之夏」熱潮,Samczsun又發現了ENS、Livepeer、bZxNetwork、CurveFinance等諸多加密項目的潛在漏洞。

其中,CurveFinance的漏洞可以使任何人都可以利用該漏洞耗盡智能合約,ENS漏洞可以使ENS用戶通過某種方式在將所有權轉讓給其他人后再度取回所有權,這些都是對項目發展產生重大負面影響的漏洞,足見samczsun貢獻之大。

區塊鏈公司Ekta完成6000萬美元融資,Global Emerging Markets領投:金色財經報道,總部位于巴厘島的區塊鏈公司Ekta從Global Emerging Markets籌集了6000萬美元,以推動該初創公司建立一個連接數字和物理世界的區塊鏈生態系統。

據悉,Ekta正在構建一系列區塊鏈驅動產品,包括NFT市場、混合加密貨幣交易平臺、區塊鏈游戲等,其Layer1區塊鏈EktaChain已經全面運行,可以將房地產、音樂、藝術品和黃金等現實世界資產代幣化。(techinasia)[2022/6/17 4:34:08]

「構建軟件的一個常見誤解是,如果系統中的每個組件都經過單獨驗證是安全的,那么系統本身也是安全的。這種信念在DeFi中得到了最好的說明,在DeFi中,可組合性是開發人員的第二天性。不幸的是,雖然組合兩個組件在大多數情況下可能是安全的,但只需要一個漏洞就會對數百甚至數千名無辜用戶造成嚴重的經濟損失。」Samczsun在發現眾多DeFi項目漏洞后做出如是總結,「安全的組件也可以聚集在一起,使得某些東西變得不安全。」

2020年初,samczsun還在Gitcoin平臺發起贈款,并成為Gitocin第五輪贈款活動募資最多的對象。同期,samczsun也加入加密安全公司TrailofBits擔任安全工程師。

至2020年9月,已經在DeFi安全領域頗具名氣的samczsun在Paradigm創始人邀請下,成為該投資機構的研究合伙人,以「幫助評估潛在投資組合公司的安全狀況,協助當前投資組合公司,推進以太坊生態系統的整體安全。」

以太坊執行層漏洞賞金排行榜此后至今,samczsun繼續其漏洞披露的慣例,涉及AlphaHomora、DODO、Rari、Tokenlon、ForTube、BendDAO等項目,其中Rari代碼漏洞可能會導致Fuse池所有可借用資產被盜。在以太坊基金會公布的以太坊執行層漏洞賞金排行榜上,Samczsun也長期位居第一名。此外,samczsun還曾助dYdX、GelatoNetwork等項目方緊急處理漏洞事件。

其中,最令samczsun名聲大噪的案例當屬MISO漏洞事件,幫助項目方避免了高達3.5億美元的資金損失。

2021年8月17日,當samczsun注意到SushiSwapIDO平臺MISO正在進行史上最大規模的IDO時,他隨后在Etherscan上打開MISO的智能合約,很快發現initMarket功能沒有訪問控制,initAuction調用的函數也不包含訪問控制檢查。

具體而言,這個漏洞會MISO錯誤地處理荷蘭式拍賣中的失敗事務,即智能合約不會拒絕超過拍賣Token上限的交易,反而是在拍賣結束后退款給用戶。因此,攻擊者可以利用MISO平臺上的漏洞免費競拍,并獲得提交金額和當前出價間的差額退款,直到耗盡合約中的所有資金。也就是說,這個漏洞會使超過該項目募集的10.9萬個ETH面臨被盜風險。

意識到漏洞的嚴重性后,samczsun聯系到Sushi團隊并進行電話會議告知具體漏洞,隨后又與項目方密切溝通對智能合約中的資金進行緊急處理,最終在三個小時內解決該次危機。事后,Samczsun獲得Sushi團隊的100萬USDC賞金獎勵。

在事后接受Immunefi采訪時,samczsun用「興奮和恐懼的奇怪組合」來描述發現此次漏洞的心情。「興奮,源于你剛剛找到了你一直在尋找的東西。恐懼,因為時鐘正在滴答作響,每過一秒,其他人就會發現同樣的錯誤。我的心率上升與風險量成正比。」

經此一役,samczsun的影響力從安全圈子拓展到整個加密行業,成為行業內最知名的白帽黑客與加密安全研究者。

不過,samczsun的突出貢獻也隱約暗示著一個不安與殘酷的事實,即加密安全的生態仍然相當脆弱,盡管少數像Samczsun的白帽黑客憑借高度的行業責任感與道德感選擇向項目方披露,但大多數黑客在發現漏洞后選擇主動攻擊從而實現更多獲利。

這也導致今年以來各類安全事故仍然接連發生在加密行業,類似Ronin跨鏈橋被盜超6億美元、RariCapital被盜8000萬美元、BeanstalkFarms被盜超8000萬美元等事件一次又一次沖擊著加密社區的信心。

samczsun的所有貢獻,是行業之幸,但也折射出行業之悲。

來源:金色財經

Tags:SAMSUNAMCEFIGosamasunbitternGAMC價格HEFI幣

以太坊價格今日行情
導演6.23日行情分析 熊途路漫漫 大餅小級別震蕩 看是否延伸 1H級別繼續看走中樞概率_OBI

導演第723篇原創每日行情分析2022.6.23 第一部分:市場情緒? 受Azuki、BAYC等藍籌NFT價格下挫影響,BendDAO TVL單日下降43.02%:7月2日消息.

1900/1/1 0:00:00
元宇宙領域先驅正在為與Web3建立更好的互操作性而努力_元宇宙

Web3和元宇宙領域有很多的機會,令人興奮的項目正在取得相應的成果,然而我們需要關注不同元宇宙之間的互連接性,因為社會不需要更多孤立的生態系統.

1900/1/1 0:00:00
Genesis bulls《創世牛》——用東方元素引領NFT市場_NFT

孟昌明:美籍畫家、書法家、藝術評論家,曾經在美國、日本、中國等地舉辦過一百余次個人畫展,作品為世界各地博物館、學術機構及私人所收藏.

1900/1/1 0:00:00
斐波那契回撤(黃金分割線)_ETH

基本信息 斐波納契回撤理論,是股票上也常用到的經典理論之一,是建立在兩個端點間的趨勢線。斐波納契回撤理論是斐波那契LeonardoFibonacci發現的數字邏輯推論,即每一個隨后的數據是前兩個.

1900/1/1 0:00:00
被人稱為下一個Shib的GHC到底是什么?_GHC

數字貨幣圈的消息流傳的很迅速,通常都會一石激起千層浪,然而新興GameFi+Metaverse項目GHC率先打響了第一炮,作為GameFi與Metaverse的結合體,GHC的價值早已非同尋常.

1900/1/1 0:00:00
比特幣以太最新行情 技術面來看近期上行的概率遠大于下跌的概率_FTT

6月23日消息,據官方公告,基于ZKRollup的以太坊二層擴容解決方案zkSync今日發布V2更新,其結構變化旨在改善用戶體驗,增加與以太坊EVM的兼容性.

1900/1/1 0:00:00
ads