加密行業頂級白帽黑客 samczsun 是如何誕生的？_SAM

作者：谷昱，鏈捕手

“Uup?”

這句來自samczsun的詢問，是任何DeFi項目方最害怕收到的消息之一，因為這很可能意味著samczsun發現了該項目智能合約存在嚴重漏洞，用戶資產隨時有可能被黑客盜走。

在加密世界，各類協議的智能合約漏洞屢見不鮮，成為黑客眼中誘人的“肥肉”。據FootprintAnalytics統計，2021年至少90個DeFi項目遭遇各種攻擊，初始損失金額超過10億美元，給普通用戶帶來極大的損失。不過在黑客肆意妄為的同時，也有許多白帽黑客在幫助項目方提前發掘智能合約漏洞。

samczsun就是加密行業最為知名的白帽黑客，沒有之一。過去幾年，samczsun通過向項目方私信，至少幫助二十余個項目提前發現系統漏洞，避免了數億美元的損失，包括Sushiswap、ENS、Rari、Tokenlon等。

samczsun的正式身份是著名加密風投機構Paradigm研究合伙人，專注于Paradigm的投資組合公司以及對安全和相關主題的研究，他的所有公開發聲幾乎都是對加密項目漏洞的報告與分析，以保護加密生態的健康發展。

律師：Hinman文件突出SEC不是監管加密行業的合適機構，國會有必要干預:6月14日消息，加密律師兼CryptoLaw創始人 John Deaton表示，SEC前高級職員Bill Hinman于2018年的演講文件為Ripple、Coinbase和其他面臨監管機構不公正執法的實體提供了支持；這些文件不僅會影響公眾輿論，而且可能會影響國會的立法討論，因為它們引起了人們對監管機構行為和對現行法律解釋的擔憂。

Deaton表示，這些文件本身不會影響法官對Ripple是否將XRP作為投資合同以提供、出售的基本分析，或者XRP在二級市場的地位美國市場。但它確實加強了Ripple的論點，即Hinman發表的演講造成了市場混亂，并阻礙了市場參與者理解現有法規禁止的內容的能力。”Deaton進一步強調了這些文件對Ether和ERC-20代幣的潛在影響。這些文件可能會通過降低以太坊被SEC歸類為證券的可能性。這些文件強調了國會有必要干預并在管理數字資產方面提供明確的信息，鑒于這些文件突出了明顯的利益沖突和不當行為，SEC可能不是監管加密行業的合適機構。[2023/6/14 21:35:45]

盡管samczsun曾表示會優先考慮審查投資組合公司計劃發布新代碼，但他披露漏洞的項目大部分都并非Paradigm的投資組合項目，例如Sushiswap、ENS、ForTube、Tokenlon等，這也使得他成為對DeFi生態乃至加密行業安全領域貢獻最大、影響力最高的人物之一。

報告：全球加密行業規模2022年-2030年復合年增長率將達到26.8%:4月26日消息，根據Grand View Research發布的“2022 - 2030年加密貨幣行業數據手冊”，全球加密貨幣行業規模在2021年達到4009億美元，從2022年到2030年的復合年增長率將達到26.8%。加密貨幣從數字新興事物發展到數十億美元的業務（以及潛在的萬億美元市場），主要歸功于分布式賬本在游戲、醫療保健、貿易、電子商務、零售和政府部門的滲透。數字貨幣在透明度、安全性和去中心化方面日益突出，這鼓勵了企業持有數字資產。

企業家和投資者正準備使用加密貨幣并探索其優勢，這些趨勢推動了發達經濟體和新興經濟體對加密貨幣交易平臺和加密貨幣錢包的需求。（PR Newswire）[2023/4/26 14:27:48]

DragonflyCapital合伙人Haseeb近期就在采訪中稱，他認為samczsun是在Web3工作的最聰明的人。Paradigm另一名合伙人DanRobinson則將他稱為加密行業的蝙蝠俠。每當加密生態系統中有大量資金處于危險之中時，就會發出蝙蝠信號，samczsun就會進來幫助挽救局面。

美國加密行業人士反對參議院提出的加密稅收方案:7月29日，美國參議院兩黨提出新的基礎設施法案，指出要通過向加密貨幣交易征稅，籌集280億美元的基建資金，具體做法包括更新了券商對加密交易的申報規定，并要求企業披露1萬美元以上的加密交易。消息一出，行業人士紛紛表達了不滿。華盛頓行業組織區塊鏈協會負責人Kristin Smith表示：與其匆忙通過一項未經檢驗的條款，并產生意想不到的嚴重后果，我們鼓勵國會與行業合作，尋找所有利益相關者認可的方式。共和黨參議員Cynthia Lummis表示：這是一個非常復雜的領域，容易出錯，我們需要一個真正的委員會程序來考慮這些問題，而不是秘密起草。

加密稅務公司CoinTracker的稅務策略主管Shehan Chandrasekera表示，新的申報要求執行起來也會很困難。他認為立法者試圖將股票和證券領域的做法照搬在加密貨幣領域：但在加密世界，有太多人采取自我托管方式，即將資產保存在硬件錢包中，而股票和證券世界里從沒有這種事。」他也強調讓去中心化交易所申報此類信息會非常困難，因為許多交易所并不收集用戶的身份信息。一些行業說客稱法案的草案文本不可行，且不利于該行業在美國的發展。一些業內公司稱目前尚不清楚是否有能力遵守該提案，但如果正式實施，可能會迫使部分企業遷往海外。（彭博社）[2021/7/30 1:24:17]

那么，samczsun是如何成為如今的頂級白帽黑客的？鏈捕手在本文中將通過公開資料對他的過往經歷進行大致的梳理與歸納。

加密行業組織發起“Bitcoin Quest”競賽:加密行業組織Hotmine、Its Business Baby、School Bitcoin、Satochip和Ed Khan Crypto Gallery背后的團隊發起了一項名為Bitcoin Quest的競賽，玩家可以通過找到隱藏在藝術品中的比特幣種子來獲得獎品。該活動將于2021年1月21日正式開始，獲勝者將有機會贏取13件比特幣藝術品，每件價值150美元，以及3個Satochip硬件錢包。此外，獲勝者的名字將被寫入以太坊區塊鏈。（Bitcoin.com）[2021/1/9 15:44:18]

從samczsun的社交媒體資料來看，其最早的網絡動態是在2014年11月，當月他加入Github并在11-12月做出114項貢獻。

samczsun最早可追蹤的漏洞挖掘記錄則是在2016年1月，當時他在推特@Enjin官方推特，表示有嚴重的安全問題需要解決，隨后Enjin官推回復并提供了一個報告提交鏈接。這個Enjin，就是如今熱門NFT游戲平臺Enjin，不過當時該項目尚未進入加密與NFT賽道。

動態 | 紐約州立法機構選出六名加密行業代表加入其數字貨幣工作組:紐約州立法機構已選出六名來自區塊鏈和加密貨幣行業的代表加入其數字貨幣工作組，該工作組于一月份成立。該小組將準備2020年12月15日關于加密行業狀況的報告，并就如何“管理，定義和使用”加密貨幣向州政府提供建議。工作組成員包括ConsenSys創始人Joseph Lubin，全球區塊鏈商業委員會首席執行官Sandra Ro，民主國防基金會副主席Yaya Fanusie，微軟區塊鏈聯合創始人York Rhodes，Ripple監管關系主管Ryan Zagone和Cardozo學院法學教授Aaron Wright。[2019/7/24]

2017年，samczsun在漏洞賞金平臺Hackerone提交多個項目漏洞，包括印度版美團Zomato、法律合同分析公司LegalRobot，并在博客發布過多篇漏洞分析文章。

samczsun首次公開對DeFi協議漏洞進行調查研究是在2019年7月，彼時他向0x協議披露其存在的一個智能合約漏洞，允許惡意行為者代表任何已批準的0x合約花費其資產的外部擁有賬戶(EOA)創建有效訂單，項目方也不得不關閉協議來修補漏洞，并從頭開始部署0xv2.1智能合約。在這次漏洞事件中，samczsun獲得了10萬美元賞金。

samczsun也從此正式開啟白帽黑客之路，以相當高產的漏洞研究迅速在DeFi行業走紅。

此后一年，伴隨著2020年的“De-Fi之夏”熱潮，Samczsun又發現了ENS、Livepeer、bZxNetwork、CurveFinance等諸多加密項目的潛在漏洞。

其中，CurveFinance的漏洞可以使任何人都可以利用該漏洞耗盡智能合約，ENS漏洞可以使ENS用戶通過某種方式在將所有權轉讓給其他人后再度取回所有權，這些都是對項目發展產生重大負面影響的漏洞，足見samczsun貢獻之大。

“構建軟件的一個常見誤解是，如果系統中的每個組件都經過單獨驗證是安全的，那么系統本身也是安全的。這種信念在DeFi中得到了最好的說明，在DeFi中，可組合性是開發人員的第二天性。不幸的是，雖然組合兩個組件在大多數情況下可能是安全的，但只需要一個漏洞就會對數百甚至數千名無辜用戶造成嚴重的經濟損失。”Samczsun在發現眾多DeFi項目漏洞后做出如是總結，“安全的組件也可以聚集在一起，使得某些東西變得不安全。”

2020年初，samczsun還在Gitcoin平臺發起贈款，并成為Gitocin第五輪贈款活動募資最多的對象。同期，samczsun也加入加密安全公司TrailofBits擔任安全工程師。

至2020年9月，已經在DeFi安全領域頗具名氣的samczsun在Paradigm創始人邀請下，成為該投資機構的研究合伙人，以“幫助評估潛在投資組合公司的安全狀況，協助當前投資組合公司，推進以太坊生態系統的整體安全。”

以太坊執行層漏洞賞金排行榜

此后至今，samczsun繼續其漏洞披露的慣例，涉及AlphaHomora、DODO、Rari、Tokenlon、ForTube、BendDAO等項目，其中Rari代碼漏洞可能會導致Fuse池所有可借用資產被盜。在以太坊基金會公布的以太坊執行層漏洞賞金排行榜上，samczsun也長期位居第一名。此外，samczsun還曾助dYdX、GelatoNetwork等項目方緊急處理漏洞事件。

其中，最令samczsun名聲大噪的案例當屬MISO漏洞事件，幫助項目方避免了高達3.5億美元的資金損失。

2021年8月17日，當samczsun注意到SushiSwapIDO平臺MISO正在進行史上最大規模的IDO時，他隨后在Etherscan上打開MISO的智能合約，很快發現initMarket功能沒有訪問控制，initAuction調用的函數也不包含訪問控制檢查。

具體而言，這個漏洞會MISO錯誤地處理荷蘭式拍賣中的失敗事務，即智能合約不會拒絕超過拍賣代幣上限的交易，反而是在拍賣結束后退款給用戶。因此，攻擊者可以利用MISO平臺上的漏洞免費競拍，并獲得提交金額和當前出價間的差額退款，直到耗盡合約中的所有資金。也就是說，這個漏洞會使超過該項目募集的10.9萬個ETH面臨被盜風險。

意識到漏洞的嚴重性后，samczsun聯系到Sushi團隊并進行電話會議告知具體漏洞，隨后又與項目方密切溝通對智能合約中的資金進行緊急處理，最終在三個小時內解決該次危機。事后，samczsun獲得Sushi團隊的100萬USDC賞金獎勵。

在事后接受Immunefi采訪時，samczsun用“興奮和恐懼的奇怪組合”來描述發現此次漏洞的心情。“興奮，源于你剛剛找到了你一直在尋找的東西。恐懼，因為時鐘正在滴答作響，每過一秒，其他人就會發現同樣的錯誤。我的心率上升與風險量成正比。”

經此一役，samczsun的影響力從安全圈子拓展到整個加密行業，成為行業內最知名的白帽黑客與加密安全研究者。

不過，samczsun的突出貢獻也隱約暗示著一個不安與殘酷的事實，即加密安全的生態仍然相當脆弱，盡管少數像samczsun的白帽黑客憑借高度的行業責任感與道德感選擇向項目方披露，但大多數黑客在發現漏洞后選擇主動攻擊從而實現更多獲利。

這也導致今年以來各類安全事故仍然接連發生在加密行業，類似Ronin跨鏈橋被盜超6億美元、RariCapital被盜8000萬美元、BeanstalkFarms被盜超8000萬美元等事件一次又一次沖擊著加密社區的信心。

samczsun的所有貢獻，是行業之幸，但也折射出行業之悲。

注：關于samczsun?如何理解加密行業黑客生態、如何具體發掘漏洞，可參見《對話“加密蝙蝠俠”samczsun：成為白帽黑客是一種怎樣的體驗？》。

Tags：SAMSUNAMCEFIExosama Networkredsuncoindreamcoinefinity幣最新官方消息

Uniswap