NFT:加密行业顶级白帽黑客Samczsun是如何诞生的？_DeFi Bids

作为Paradigm的研究合伙人兼安全主管，Samczsun同时也是加密行业最为知名的白帽黑客，没有之一。过去几年，Samczsun通过向项目方私信，至少帮助二十余个项目提前发现系统漏洞，避免了数亿美元的损失，包括Sushiswap、ENS、Rari等。DragonflyCapital合伙人Haseeb近期就在一次采访中称，他认为Samczsun是在Web3工作的最聪明的人。Paradigm另一名合伙人DanRobinson则将他称为加密行业的蝙蝠侠。每当加密生态系统中有大量资金处于危险之中时，就会发出蝙蝠信号，Samczsun就会进来帮助挽救局面。那么，Samczsun是如何成为如今的顶级白帽黑客的？

彭博社：法国作为“创业之国”已成为加密行业的避风港:4月13日消息，彭博社今日刊文《法国作为“创业之国”已成为加密行业的避风港》，文章称，法国总统马克龙对加密行业的拥抱促使从Circle、Crypto.com和币安等公司将巴黎作为他们的欧洲基地。尽管法国在加密货币领域仍然是一个小角色，并且也在努力收紧监管，但其在第一季度的风险投资交易中所占份额猛增，这是马克龙吸引数字资产业务的努力开始取得成果的早期迹象。

ConsenSys首席执行官Joe Lubin在巴黎加密会议上表示：“法国想成为一个创业之国，我认为这是合理的。此次会议组织者估计吸引了大约8,500名与会者，甚至比前一年更多。”法国数字部长Jean-Noel Barrot曾在3月底接受采访时表示：“自马克龙总统当选以来，过去几年实施的努力和政策正在取得成效，这些努力使法国成为发展Web3和基于区块链的技术(包括加密资产)最具吸引力的地方。”[2023/4/13 14:01:13]

「Uup?」这句来自Samczsun的询问，是任何DeFi项目方最害怕收到的消息之一，因为这很可能意味着Samczsun发现了该项目智能合约存在严重漏洞，用户资产随时有可能被黑客盗走。在加密世界，各类协议的智能合约漏洞屡见不鲜，成为黑客眼中诱人的「肥肉」。据FootprintAnalytics统计，2021年至少90个DeFi项目遭遇各种攻击，初始损失金额超过10亿美元，给普通用户带来极大的损失。不过在黑客肆意妄为的同时，也有许多白帽黑客在帮助项目方提前发掘智能合约漏洞。Samczsun就是加密行业最为知名的匿名白帽黑客，没有之一。过去几年，Samczsun通过向项目方私信，至少帮助二十余个项目提前发现系统漏洞，避免了数亿美元的损失，包括Sushiswap、ENS、Rari、Tokenlon等。Samczsun的正式身份是著名加密风投机构Paradigm研究合伙人，专注于Paradigm的投资组合公司以及对安全和相关主题的研究，他的所有公开发声几乎都是对加密项目漏洞的报告与分析，以保护加密生态的健康发展。尽管Samczsun曾表示会优先考虑审查投资组合公司计划发布新代码，但他披露漏洞的项目大部分都并非Paradigm的投资组合项目，例如Sushiswap、ENS、ForTube、Tokenlon等，这也使得他成为对DeFi生态乃至加密行业安全领域贡献最大、影响力最高的人物之一。DragonflyCapital合伙人Haseeb近期就在一次采访中称，他认为samczsun是在Web3工作的最聪明的人。Paradigm另一名合伙人DanRobinson则将他称为加密行业的蝙蝠侠。每当加密生态系统中有大量资金处于危险之中时，就会发出蝙蝠信号，Samczsun就会进来帮助挽救局面。那么，Samczsun是如何成为如今的顶级白帽黑客的？链捕手在本文中将通过公开资料对他的过往经历进行大致的梳理与归纳。从Samczsun的社交媒体资料来看，其最早的网络动态是在2014年11月，当月他加入Github并在11-12月做出114项贡献。Samczsun最早可追踪的漏洞挖掘记录则是在2016年1月，当时他在推特@Enjin官方推特，表示有严重的安全问题需要解决，随后Enjin官推回复并提供了一个报告提交链接。这个Enjin，就是如今热门NFT游戏平台Enjin，不过当时该项目尚未进入加密与NFT赛道。

Zhu Su：现在是构建和了解加密行业的最佳时机:金色财经报道，三箭资本联合创始人Zhu Su发推表示，“很多人向我咨询是否底部已经出现，我的回答往往是‘不知道也不在乎’。如果你还身处加密领域，现在是构建、了解加密领域如何工作以及如何改进的最佳时机”。[2023/1/9 11:02:08]

2017年，Samczsun在漏洞赏金平台Hackerone提交多个项目漏洞，包括印度版美团Zomato、法律合同分析公司LegalRobot，并在博客发布过多篇漏洞分析文章。Samczsun首次公开对DeFi协议漏洞进行调查研究是在2019年7月，彼时他向0x协议披露其存在的一个智能合约漏洞，允许恶意行为者代表任何已批准的0x合约花费其资产的外部拥有账户(EOA)创建有效订单，项目方也不得不关闭协议来修补漏洞，并从头开始部署0xv2.1智能合约。在这次漏洞事件中，Samczsun获得了10万美元赏金。Samczsun也从此正式开启白帽黑客之路，以相当高产的漏洞研究迅速在DeFi行业走红。此后一年，伴随着2020年的「DeFi之夏」热潮，Samczsun又发现了ENS、Livepeer、bZxNetwork、CurveFinance等诸多加密项目的潜在漏洞。其中，CurveFinance的漏洞可以使任何人都可以利用该漏洞耗尽智能合约，ENS漏洞可以使ENS用户通过某种方式在将所有权转让给其他人后再度取回所有权，这些都是对项目发展产生重大负面影响的漏洞，足见Samczsun贡献之大。「构建软件的一个常见误解是，如果系统中的每个组件都经过单独验证是安全的，那么系统本身也是安全的。这种信念在DeFi中得到了最好的说明，在DeFi中，可组合性是开发人员的第二天性。不幸的是，虽然组合两个组件在大多数情况下可能是安全的，但只需要一个漏洞就会对数百甚至数千名无辜用户造成严重的经济损失。」Samczsun在发现众多DeFi项目漏洞后做出如是总结，「安全的组件也可以聚集在一起，使得某些东西变得不安全。」2020年初，Samczsun还在Gitcoin平台发起赠款，并成为Gitocin第五轮赠款活动募资最多的对象。同期，Samczsun也加入加密安全公司TrailofBits担任安全工程师。至2020年9月，已经在DeFi安全领域颇具名气的Samczsun在Paradigm创始人邀请下，成为该投资机构的研究合伙人，以「帮助评估潜在投资组合公司的安全状况，协助当前投资组合公司，推进以太坊生态系统的整体安全。」

世界经济论坛：加密行业当前的经济环境与1995年的互联网泡沫一样:金色财经报道，在1月2日世界经济论坛 (WEF) 在其最新报告中概述了 2023 年加密货币和整个行业的可能未来。世界经济论坛数字货币治理联盟的官员 Dante Disparte 表示，加密行业当前的经济环境可以与 1995 年的互联网泡沫相提并论。在那段时间里，大多数企业都被消灭了，只有最强大的组织幸存下来。根据世界经济论坛 (WEF) 的说法，2022 年的“加密冬天”可能是整个行业的转折点。由于顶级加密企业去年遭遇众多后果，世界经济论坛警告说，加密货币的未来将由国家政府发布的监管框架驱动。

世界经济论坛 (WEF) 指出，采取措施监管发展中行业的司法管辖区可能会定义未来。然而，世界经济论坛还指出，不法行为者可能或仍会在该行业发展过程中对其进行剥削。[2023/1/3 22:21:44]

以太坊执行层漏洞赏金排行榜此后至今，Samczsun继续其漏洞披露的惯例，涉及AlphaHomora、DODO、Rari、Tokenlon、ForTube、BendDAO等项目，其中Rari代码漏洞可能会导致Fuse池所有可借用资产被盗。在以太坊基金会公布的以太坊执行层漏洞赏金排行榜上，Samczsun也长期位居第一名。此外，Samczsun还曾助dYdX、GelatoNetwork等项目方紧急处理漏洞事件。其中，最令Samczsun名声大噪的案例当属MISO漏洞事件，帮助项目方避免了高达3.5亿美元的资金损失。2021年8月17日，当Samczsun注意到SushiSwapIDO平台MISO正在进行史上最大规模的IDO时，他随后在Etherscan上打开MISO的智能合约，很快发现initMarket功能没有访问控制，initAuction调用的函数也不包含访问控制检查。具体而言，这个漏洞会MISO错误地处理荷兰式拍卖中的失败事务，即智能合约不会拒绝超过拍卖代币上限的交易，反而是在拍卖结束后退款给用户。因此，攻击者可以利用MISO平台上的漏洞免费竞拍，并获得提交金额和当前出价间的差额退款，直到耗尽合约中的所有资金。也就是说，这个漏洞会使超过该项目募集的10.9万个ETH面临被盗风险。意识到漏洞的严重性后，Samczsun联系到Sushi团队并进行电话会议告知具体漏洞，随后又与项目方密切沟通对智能合约中的资金进行紧急处理，最终在三个小时内解决该次危机。事后，Samczsun获得Sushi团队的100万USDC赏金奖励。在事后接受Immunefi采访时，Samczsun用「兴奋和恐惧的奇怪组合」来描述发现此次漏洞的心情。「兴奋，源于你刚刚找到了你一直在寻找的东西。恐惧，因为时钟正在滴答作响，每过一秒，其他人就会发现同样的错误。我的心率上升与风险量成正比。」经此一役，Samczsun的影响力从安全圈子拓展到整个加密行业，成为行业内最知名的白帽黑客与加密安全研究者。不过，Samczsun的突出贡献也隐约暗示着一个不安与残酷的事实，即加密安全的生态仍然相当脆弱，各类项目的安全意识与防御能力参差不齐，尽管少数像Samczsun的白帽黑客凭借高度的行业责任感与道德感选择向项目方披露，但多数黑客在发现漏洞后选择主动攻击从而实现更多获利。这也导致今年以来各类安全事故仍然接连发生在加密行业，类似Ronin跨链桥被盗超6亿美元、RariCapital被盗8000万美元、BeanstalkFarms被盗超8000万美元等重大安全事件一次又一次冲击着加密社区的信心，并导致DeFi用户遭遇巨大损失。Samczsun的所有贡献，是行业之幸，但也折射出行业之悲。

美众议院金融服务委员会：正深入研究如何更好地监管加密行业:金色财经报道，据官方推特消息，美国众议院金融服务委员会正在关注加密货币作为长期投资的影响，并正在深入研究如何更好地监管这个快速增长的行业。[2021/7/1 0:18:18]

动态 | 加密行业大V Ivan on Tech的YouTube频道仍无法开播:Ivan on Tech是YouTube上最大的区块链相关频道之一，目前拥有超过21.5万订阅用户。据其所有者称，YouTube继续不恰当地将加密货币和区块链相关的内容标记为“有害或危险”，却没有任何理由。其频道刚一开通直播便被关闭了，但这是没有道理的，因为直播中没有出现任何危险或有害的内容。此前消息，YouTube删除数位加密货币行业大V视频一事在去年年底时一度引发热议。最初，只有少数几个Youtube频道受到影响：加拿大比特币教育家“BTCSessions”和支持加密金融的Youtube大V Chris Dunn表示，他们的一些视频因为“有害和危险”的内容而被删除。随后热门比特币价格分析师“Sunny Decreate”和加密程序员“Ivan on Tech”的一些视频也被删除，这两个频道都有数万用户。此外，加密教育家Omar Bham （在Youtube上以“Crypt0”命名）、Alex Saunders的《掘金新闻》（Nugget's News）和加密媒体创始人Michael“Boxming”Gu都被波及到。（CryptoPotato）[2020/2/24]

标签：NFTDEFDEFIARAINFTDeFi WarriorDeFi BidsKARATE

以太坊最新价格热门资讯