AMC:加密行业顶级白帽黑客 samczsun 是如何诞生的？_SAM

作者：谷昱，链捕手

“Uup?”

这句来自samczsun的询问，是任何DeFi项目方最害怕收到的消息之一，因为这很可能意味着samczsun发现了该项目智能合约存在严重漏洞，用户资产随时有可能被黑客盗走。

在加密世界，各类协议的智能合约漏洞屡见不鲜，成为黑客眼中诱人的“肥肉”。据FootprintAnalytics统计，2021年至少90个DeFi项目遭遇各种攻击，初始损失金额超过10亿美元，给普通用户带来极大的损失。不过在黑客肆意妄为的同时，也有许多白帽黑客在帮助项目方提前发掘智能合约漏洞。

samczsun就是加密行业最为知名的白帽黑客，没有之一。过去几年，samczsun通过向项目方私信，至少帮助二十余个项目提前发现系统漏洞，避免了数亿美元的损失，包括Sushiswap、ENS、Rari、Tokenlon等。

samczsun的正式身份是著名加密风投机构Paradigm研究合伙人，专注于Paradigm的投资组合公司以及对安全和相关主题的研究，他的所有公开发声几乎都是对加密项目漏洞的报告与分析，以保护加密生态的健康发展。

BitPanda CEO：监管对加密行业的影响取决于具体规定 可能是好事情:关于监管对加密行业的影响，BitPanda首席执行官Eric Demuth表示，这个问题的答案已经发生变化，以前可能会损害加密行业的增长，但现在不是这样了。“答案取决于监管的具体规定，现在行业和许多公司已经达到重要的规模，这可能是一件非常好的事情。我们现在在欧洲有AML5条例。这类似于银行业的规定。四年前，监管可能会扼杀欧洲所有的创新和公司。想象一下，如果你只是一个新的创业公司，无法达到这个目标。”这就是为什么欧盟在一开始就做出不干涉加密领域的明智决定，Demuth补充道:“他们只是观察，让事情发生，给他们（初创公司）一个更广阔的框架。欧盟等待整个行业变得足够大，然后开始定义相关规则。”（Cointelegraph）[2020/3/7]

尽管samczsun曾表示会优先考虑审查投资组合公司计划发布新代码，但他披露漏洞的项目大部分都并非Paradigm的投资组合项目，例如Sushiswap、ENS、ForTube、Tokenlon等，这也使得他成为对DeFi生态乃至加密行业安全领域贡献最大、影响力最高的人物之一。

现场 | 新加坡金融厅负责人：新加坡会制定一些政策让加密行业越来越合规:金色财经现场报道，10月2日，N.avenue株式会社在东京举办日本区块链大会b.tokyo，在本次大会上，新加坡金融厅负责人Sopnendu Mohanty进行了“金融科技4.0的思考”的主题演讲。他表示：现在新加坡对加密货币比较开放，最近这些年，区块链科技公司和金融公司在新加坡兴起，我们会检测ID和KYC。新加坡会越来越合规，但是我们会更优先接受新鲜事物，数据的安全非常重要，政府也需要安全的数据。新加坡会制定一些政策让加密行业越来越合规。当然我们也要保护银行。国家应该推行两种技术，一种是AI，一种是区块链，如果两个一起开发就会更加完美，会给新加坡带来更多商机。而且亚洲会变得更加美好。[2019/10/2]

DragonflyCapital合伙人Haseeb近期就在采访中称，他认为samczsun是在Web3工作的最聪明的人。Paradigm另一名合伙人DanRobinson则将他称为加密行业的蝙蝠侠。每当加密生态系统中有大量资金处于危险之中时，就会发出蝙蝠信号，samczsun就会进来帮助挽救局面。

声音 | 美国前共和党议员：美国监管机构的政策阻碍了加密行业的发展:据Cointelegraph报道，前共和党众议员George Nethercutt近日在一篇文章中提到，虽然美国国务院的外交官正在努力为美国的创新铺平道路，但美国监管机构，如美国证券交易委员会（SEC））在加密货币方面表明立场和态度的速度太慢了，这阻碍了创新，使许多美国企业陷入监管困境，特别是在他们的代币是否被归类为证券方面。他还表示，从法律角度来看，专家们认为证券法规根本不适用于加密货币，政策制定者应该分享这种观点，让创新继续蓬勃发展。[2019/1/15]

那么，samczsun是如何成为如今的顶级白帽黑客的？链捕手在本文中将通过公开资料对他的过往经历进行大致的梳理与归纳。

从samczsun的社交媒体资料来看，其最早的网络动态是在2014年11月，当月他加入Github并在11-12月做出114项贡献。

samczsun最早可追踪的漏洞挖掘记录则是在2016年1月，当时他在推特@Enjin官方推特，表示有严重的安全问题需要解决，随后Enjin官推回复并提供了一个报告提交链接。这个Enjin，就是如今热门NFT游戏平台Enjin，不过当时该项目尚未进入加密与NFT赛道。

动态 | 乌兹别克斯坦总统签署加密行业法令 国有能源公司将为挖矿提供电力支持:据CCN报导，乌兹别克斯坦总统沙夫卡特·米尔济约耶夫（Shavkat Mirziyoyev）近日签署了一项新法令，该法令规定了数字货币交易合法化的若干要求，如数字货币交易所牌照制度、数字货币行业准入要求等。除此之外，根据该法令，国有能源公司Uzbekenergo和Uzbekgidroenergo将为具备工业规模的挖矿场配给超过100千瓦/时的电力。这些挖矿地点将由总统直属的国家项目管理署协调指定。[2018/9/8]

2017年，samczsun在漏洞赏金平台Hackerone提交多个项目漏洞，包括印度版美团Zomato、法律合同分析公司LegalRobot，并在博客发布过多篇漏洞分析文章。

samczsun首次公开对DeFi协议漏洞进行调查研究是在2019年7月，彼时他向0x协议披露其存在的一个智能合约漏洞，允许恶意行为者代表任何已批准的0x合约花费其资产的外部拥有账户(EOA)创建有效订单，项目方也不得不关闭协议来修补漏洞，并从头开始部署0xv2.1智能合约。在这次漏洞事件中，samczsun获得了10万美元赏金。

动态 | IDACB将与彭博社和路透社合作 提供加密行业新闻:据coinspeaker报道，国际数字货币和区块链多中心化协会（IDACB）将与彭博社和路透社合作，向其提供符合其标准的加密行业新闻，而彭博社和路透社会将分析和金融区块链数据纳入软件解决方案。[2018/9/2]

samczsun也从此正式开启白帽黑客之路，以相当高产的漏洞研究迅速在DeFi行业走红。

此后一年，伴随着2020年的“De-Fi之夏”热潮，Samczsun又发现了ENS、Livepeer、bZxNetwork、CurveFinance等诸多加密项目的潜在漏洞。

其中，CurveFinance的漏洞可以使任何人都可以利用该漏洞耗尽智能合约，ENS漏洞可以使ENS用户通过某种方式在将所有权转让给其他人后再度取回所有权，这些都是对项目发展产生重大负面影响的漏洞，足见samczsun贡献之大。

“构建软件的一个常见误解是，如果系统中的每个组件都经过单独验证是安全的，那么系统本身也是安全的。这种信念在DeFi中得到了最好的说明，在DeFi中，可组合性是开发人员的第二天性。不幸的是，虽然组合两个组件在大多数情况下可能是安全的，但只需要一个漏洞就会对数百甚至数千名无辜用户造成严重的经济损失。”Samczsun在发现众多DeFi项目漏洞后做出如是总结，“安全的组件也可以聚集在一起，使得某些东西变得不安全。”

2020年初，samczsun还在Gitcoin平台发起赠款，并成为Gitocin第五轮赠款活动募资最多的对象。同期，samczsun也加入加密安全公司TrailofBits担任安全工程师。

至2020年9月，已经在DeFi安全领域颇具名气的samczsun在Paradigm创始人邀请下，成为该投资机构的研究合伙人，以“帮助评估潜在投资组合公司的安全状况，协助当前投资组合公司，推进以太坊生态系统的整体安全。”

以太坊执行层漏洞赏金排行榜

此后至今，samczsun继续其漏洞披露的惯例，涉及AlphaHomora、DODO、Rari、Tokenlon、ForTube、BendDAO等项目，其中Rari代码漏洞可能会导致Fuse池所有可借用资产被盗。在以太坊基金会公布的以太坊执行层漏洞赏金排行榜上，samczsun也长期位居第一名。此外，samczsun还曾助dYdX、GelatoNetwork等项目方紧急处理漏洞事件。

其中，最令samczsun名声大噪的案例当属MISO漏洞事件，帮助项目方避免了高达3.5亿美元的资金损失。

2021年8月17日，当samczsun注意到SushiSwapIDO平台MISO正在进行史上最大规模的IDO时，他随后在Etherscan上打开MISO的智能合约，很快发现initMarket功能没有访问控制，initAuction调用的函数也不包含访问控制检查。

具体而言，这个漏洞会MISO错误地处理荷兰式拍卖中的失败事务，即智能合约不会拒绝超过拍卖代币上限的交易，反而是在拍卖结束后退款给用户。因此，攻击者可以利用MISO平台上的漏洞免费竞拍，并获得提交金额和当前出价间的差额退款，直到耗尽合约中的所有资金。也就是说，这个漏洞会使超过该项目募集的10.9万个ETH面临被盗风险。

意识到漏洞的严重性后，samczsun联系到Sushi团队并进行电话会议告知具体漏洞，随后又与项目方密切沟通对智能合约中的资金进行紧急处理，最终在三个小时内解决该次危机。事后，samczsun获得Sushi团队的100万USDC赏金奖励。

在事后接受Immunefi采访时，samczsun用“兴奋和恐惧的奇怪组合”来描述发现此次漏洞的心情。“兴奋，源于你刚刚找到了你一直在寻找的东西。恐惧，因为时钟正在滴答作响，每过一秒，其他人就会发现同样的错误。我的心率上升与风险量成正比。”

经此一役，samczsun的影响力从安全圈子拓展到整个加密行业，成为行业内最知名的白帽黑客与加密安全研究者。

不过，samczsun的突出贡献也隐约暗示着一个不安与残酷的事实，即加密安全的生态仍然相当脆弱，尽管少数像samczsun的白帽黑客凭借高度的行业责任感与道德感选择向项目方披露，但大多数黑客在发现漏洞后选择主动攻击从而实现更多获利。

这也导致今年以来各类安全事故仍然接连发生在加密行业，类似Ronin跨链桥被盗超6亿美元、RariCapital被盗8000万美元、BeanstalkFarms被盗超8000万美元等事件一次又一次冲击着加密社区的信心。

samczsun的所有贡献，是行业之幸，但也折射出行业之悲。

注：关于samczsun?如何理解加密行业黑客生态、如何具体发掘漏洞，可参见《对话“加密蝙蝠侠”samczsun：成为白帽黑客是一种怎样的体验？》。

标签：AMCSAMSUNEFIITAMCUBESaitama SamuraiKitsune InuOrigen DEFI

莱特币最新价格热门资讯