SUN:加密行業頂級白帽黑客Samczsun是如何誕生的？_AMC幣是什么

作為Paradigm的研究合伙人兼安全主管，Samczsun同時也是加密行業最為知名的白帽黑客，沒有之一。過去幾年，Samczsun通過向項目方私信，至少幫助二十余個項目提前發現系統漏洞，避免了數億美元的損失，包括Sushiswap、ENS、Rari等。DragonflyCapital合伙人Haseeb近期就在一次采訪中稱，他認為Samczsun是在Web3工作的最聰明的人。Paradigm另一名合伙人DanRobinson則將他稱為加密行業的蝙蝠俠。每當加密生態系統中有大量資金處于危險之中時，就會發出蝙蝠信號，Samczsun就會進來幫助挽救局面。那么，Samczsun是如何成為如今的頂級白帽黑客的？

觀點：加密行業目前缺乏與產品市場相匹配的應用程序:金色財經報道，Jason Yanowitz在Bell Curve播客提問，每個人都在建設基礎設施，沒有應用程序。Mike Ippolito回答，在基礎架構和應用程序之間有一個滯后期，你實際上需要良好的基礎架構來構建應用程序。Web3基礎設施與應用開發之間的關系類似于雞生蛋、蛋生雞的問題。要開發優秀的應用程序，就需要能支持這些應用程序的基礎設施。但歸根結底，基礎設施應該為應用程序服務。到目前為止，加密行業似乎還缺乏一樣東西，一種與產品市場相匹配的應用程序，以推動基礎設施的發展，但它即將到來。[2023/7/31 16:07:46]

「Uup?」這句來自Samczsun的詢問，是任何DeFi項目方最害怕收到的消息之一，因為這很可能意味著Samczsun發現了該項目智能合約存在嚴重漏洞，用戶資產隨時有可能被黑客盜走。在加密世界，各類協議的智能合約漏洞屢見不鮮，成為黑客眼中誘人的「肥肉」。據FootprintAnalytics統計，2021年至少90個DeFi項目遭遇各種攻擊，初始損失金額超過10億美元，給普通用戶帶來極大的損失。不過在黑客肆意妄為的同時，也有許多白帽黑客在幫助項目方提前發掘智能合約漏洞。Samczsun就是加密行業最為知名的匿名白帽黑客，沒有之一。過去幾年，Samczsun通過向項目方私信，至少幫助二十余個項目提前發現系統漏洞，避免了數億美元的損失，包括Sushiswap、ENS、Rari、Tokenlon等。Samczsun的正式身份是著名加密風投機構Paradigm研究合伙人，專注于Paradigm的投資組合公司以及對安全和相關主題的研究，他的所有公開發聲幾乎都是對加密項目漏洞的報告與分析，以保護加密生態的健康發展。盡管Samczsun曾表示會優先考慮審查投資組合公司計劃發布新代碼，但他披露漏洞的項目大部分都并非Paradigm的投資組合項目，例如Sushiswap、ENS、ForTube、Tokenlon等，這也使得他成為對DeFi生態乃至加密行業安全領域貢獻最大、影響力最高的人物之一。DragonflyCapital合伙人Haseeb近期就在一次采訪中稱，他認為samczsun是在Web3工作的最聰明的人。Paradigm另一名合伙人DanRobinson則將他稱為加密行業的蝙蝠俠。每當加密生態系統中有大量資金處于危險之中時，就會發出蝙蝠信號，Samczsun就會進來幫助挽救局面。那么，Samczsun是如何成為如今的頂級白帽黑客的？鏈捕手在本文中將通過公開資料對他的過往經歷進行大致的梳理與歸納。從Samczsun的社交媒體資料來看，其最早的網絡動態是在2014年11月，當月他加入Github并在11-12月做出114項貢獻。Samczsun最早可追蹤的漏洞挖掘記錄則是在2016年1月，當時他在推特@Enjin官方推特，表示有嚴重的安全問題需要解決，隨后Enjin官推回復并提供了一個報告提交鏈接。這個Enjin，就是如今熱門NFT游戲平臺Enjin，不過當時該項目尚未進入加密與NFT賽道。

金融時報：全球監管壓力下新加坡成為加密行業避風港:英國《金融時報》報道，隨著美國、英國和中國在內的全球監管方收緊監管，新加坡正成為加密行業的避風港。目前，包括以太坊創始人V神和幣安創始人趙長鵬在內的行業大佬均已常駐或移居新加坡。新加坡尚未向加密貨幣公司頒發許可證，但已暫時授予一些大公司豁免權，讓它們能為當地散戶和機構投資者提供服務。該國主權財富基金GIC和國有投資公司淡馬錫已在加密領域投資了數億美元。新加坡金融管理局（MAS）讓外國加密貨幣集團更容易落戶和開展業務。新加坡證券交易所也推出了兩個加密貨幣指數。幣安已獲得豁免權，上月，該公司在領英發布了200多個新加坡招聘崗位。美國交易所Gemini已將新加坡作為亞洲總部，預計到今年底將員工人數增至50人。比特大陸創始人吳忌寒也在新加坡成立了一家初創公司。（金融時報）[2021/7/8 0:35:40]

2017年，Samczsun在漏洞賞金平臺Hackerone提交多個項目漏洞，包括印度版美團Zomato、法律合同分析公司LegalRobot，并在博客發布過多篇漏洞分析文章。Samczsun首次公開對DeFi協議漏洞進行調查研究是在2019年7月，彼時他向0x協議披露其存在的一個智能合約漏洞，允許惡意行為者代表任何已批準的0x合約花費其資產的外部擁有賬戶(EOA)創建有效訂單，項目方也不得不關閉協議來修補漏洞，并從頭開始部署0xv2.1智能合約。在這次漏洞事件中，Samczsun獲得了10萬美元賞金。Samczsun也從此正式開啟白帽黑客之路，以相當高產的漏洞研究迅速在DeFi行業走紅。此后一年，伴隨著2020年的「DeFi之夏」熱潮，Samczsun又發現了ENS、Livepeer、bZxNetwork、CurveFinance等諸多加密項目的潛在漏洞。其中，CurveFinance的漏洞可以使任何人都可以利用該漏洞耗盡智能合約，ENS漏洞可以使ENS用戶通過某種方式在將所有權轉讓給其他人后再度取回所有權，這些都是對項目發展產生重大負面影響的漏洞，足見Samczsun貢獻之大。「構建軟件的一個常見誤解是，如果系統中的每個組件都經過單獨驗證是安全的，那么系統本身也是安全的。這種信念在DeFi中得到了最好的說明，在DeFi中，可組合性是開發人員的第二天性。不幸的是，雖然組合兩個組件在大多數情況下可能是安全的，但只需要一個漏洞就會對數百甚至數千名無辜用戶造成嚴重的經濟損失。」Samczsun在發現眾多DeFi項目漏洞后做出如是總結，「安全的組件也可以聚集在一起，使得某些東西變得不安全。」2020年初，Samczsun還在Gitcoin平臺發起贈款，并成為Gitocin第五輪贈款活動募資最多的對象。同期，Samczsun也加入加密安全公司TrailofBits擔任安全工程師。至2020年9月，已經在DeFi安全領域頗具名氣的Samczsun在Paradigm創始人邀請下，成為該投資機構的研究合伙人，以「幫助評估潛在投資組合公司的安全狀況，協助當前投資組合公司，推進以太坊生態系統的整體安全。」

美國SEC委員Hester Peirce：加密行業有必要認真對待美國AML和KYC法規:美國證券交易委員會（SEC）委員Hester Peirce在接受Unchained Podcast的采訪時表示，美國司法部（DOJ）和美國商品期貨交易委員會（CFTC）對BitMEX提出的最新指控引發了加密行業對美國反洗錢（AML）和了解您的客戶（KYC）法規的關注，向加密行業傳達了“當有產品和服務涉及到美國用戶時需要強制執行美國法律”的信息。Hester Peirce還討論了SEC對比特幣交易所交易基金（ETF）的明顯抵觸，不過其指出這對投資者并不公平。（Cointelegraph）[2020/10/15]

以太坊執行層漏洞賞金排行榜此后至今，Samczsun繼續其漏洞披露的慣例，涉及AlphaHomora、DODO、Rari、Tokenlon、ForTube、BendDAO等項目，其中Rari代碼漏洞可能會導致Fuse池所有可借用資產被盜。在以太坊基金會公布的以太坊執行層漏洞賞金排行榜上，Samczsun也長期位居第一名。此外，Samczsun還曾助dYdX、GelatoNetwork等項目方緊急處理漏洞事件。其中，最令Samczsun名聲大噪的案例當屬MISO漏洞事件，幫助項目方避免了高達3.5億美元的資金損失。2021年8月17日，當Samczsun注意到SushiSwapIDO平臺MISO正在進行史上最大規模的IDO時，他隨后在Etherscan上打開MISO的智能合約，很快發現initMarket功能沒有訪問控制，initAuction調用的函數也不包含訪問控制檢查。具體而言，這個漏洞會MISO錯誤地處理荷蘭式拍賣中的失敗事務，即智能合約不會拒絕超過拍賣代幣上限的交易，反而是在拍賣結束后退款給用戶。因此，攻擊者可以利用MISO平臺上的漏洞免費競拍，并獲得提交金額和當前出價間的差額退款，直到耗盡合約中的所有資金。也就是說，這個漏洞會使超過該項目募集的10.9萬個ETH面臨被盜風險。意識到漏洞的嚴重性后，Samczsun聯系到Sushi團隊并進行電話會議告知具體漏洞，隨后又與項目方密切溝通對智能合約中的資金進行緊急處理，最終在三個小時內解決該次危機。事后，Samczsun獲得Sushi團隊的100萬USDC賞金獎勵。在事后接受Immunefi采訪時，Samczsun用「興奮和恐懼的奇怪組合」來描述發現此次漏洞的心情。「興奮，源于你剛剛找到了你一直在尋找的東西。恐懼，因為時鐘正在滴答作響，每過一秒，其他人就會發現同樣的錯誤。我的心率上升與風險量成正比。」經此一役，Samczsun的影響力從安全圈子拓展到整個加密行業，成為行業內最知名的白帽黑客與加密安全研究者。不過，Samczsun的突出貢獻也隱約暗示著一個不安與殘酷的事實，即加密安全的生態仍然相當脆弱，各類項目的安全意識與防御能力參差不齊，盡管少數像Samczsun的白帽黑客憑借高度的行業責任感與道德感選擇向項目方披露，但多數黑客在發現漏洞后選擇主動攻擊從而實現更多獲利。這也導致今年以來各類安全事故仍然接連發生在加密行業，類似Ronin跨鏈橋被盜超6億美元、RariCapital被盜8000萬美元、BeanstalkFarms被盜超8000萬美元等重大安全事件一次又一次沖擊著加密社區的信心，并導致DeFi用戶遭遇巨大損失。Samczsun的所有貢獻，是行業之幸，但也折射出行業之悲。

研究報告：監管機構的清理行動對加密行業有利:華爾街研究分析公司Fundstrat Global Advisors LLC表示，本周宣布的一系列監管舉措對以自由市場為導向的加密貨幣領域具有積極意義。該機構一份研究報告稱，英國金融行為監管局（FCA）禁止出售加密貨幣衍生品以及美國司法部發布執法框架等從長遠來看是有益的，因為這將幫助加密行業減少不法活動。報告指出，監管機構“清理不良行為者”也起到了幫助作用。市場關注Square公司購買比特幣的消息以及比特幣突破11,000美元的能力表明加密貨幣可以通過這些事情提供動力。報告稱：“總的來說，我們認為最近的消息對加密市場是利好消息，盡管風險較小，我們相信當前的牛市趨勢是完整的。”而Fundstrat警告說，鑒于監管軌跡，加密技術的某些領域可能會受到攻擊。（彭博社）[2020/10/10]

Nexo聯合創始人：FinCen泄露事件為加密行業“正名”:Nexo聯合創始人Antoni Trenchev表示，他認為在最近FinCen泄露事件中泄露的信息已為加密行業“正名”。根據泄露的信息，世界主要的金融機構清算了超過2萬億美元的“可疑”交易，而德意志銀行獨自清算了其中的1.3萬億美元。Trenchev稱：“我感覺的第一件事是（加密行業）證明了自己的清白，因為就像所有人多年來一直說的那樣，比特幣總是會跟洗錢相提并論。我們已經從監管機構、政客、銀行家、幾乎所有人那里聽到了這種說法。事實證明，洗錢者的首選仍然是美元，仍然是現存的傳統金融體系。”

此前消息，9月20日，美國金融犯罪執法網絡局（FinCEN）2500多個機密文件又遭泄露，涉及約2萬億美元的交易。這些文件揭露了一些國際性銀行讓犯罪分子在世界各地轉移贓款的行為，也揭露了俄羅斯寡頭是如何利用銀行來逃避西方國家的制裁。據英國廣播公司21日報道，FinCEN文件的泄露是過去五年來發生的一系列泄密事件中最新的一次，其文件內容揭露了秘密交易、洗錢和金融犯罪。（Cointelegraph）[2020/9/26]

Tags：SAMSUNAMCEFISAMOY幣幣昇sunbitAMC幣是什么PINETWORKDEFI

Bitcoin