加密行业顶级白帽黑客 samczsun 是如何诞生的?
作者:谷昱,链捕手
“U up?”(你醒着吗?)
这句来自 samczsun 的询问,是任何 DeFi 项目方最害怕收到的消息之一,因为这很可能意味着samczsun 发现了该项目智能合约存在严重漏洞,用户资产随时有可能被黑客盗走。
在加密世界,各类协议的智能合约漏洞屡见不鲜,成为黑客眼中诱人的“肥肉”。据 Footprint Analytics 统计,2021 年至少 90 个 DeFi 项目遭遇各种攻击,初始损失金额超过 10 亿美元,给普通用户带来极大的损失。不过在黑客肆意妄为的同时,也有许多白帽黑客在帮助项目方提前发掘智能合约漏洞。
samczsun 就是加密行业最为知名的白帽黑客,没有之一。过去几年,samczsun 通过向项目方私信,至少帮助二十余个项目提前发现系统漏洞,避免了数亿美元的损失,包括 Sushiswap、ENS、Rari、Tokenlon 等。
samczsun 的正式身份是著名加密风投机构 Paradigm 研究合伙人,专注于 Paradigm 的投资组合公司以及对安全和相关主题的研究,他的所有公开发声几乎都是对加密项目漏洞的报告与分析,以保护加密生态的健康发展。
尽管 samczsun 曾表示会优先考虑审查投资组合公司计划发布新代码,但他披露漏洞的项目大部分都并非 Paradigm 的投资组合项目,例如 Sushiswap、ENS、ForTube、Tokenlon等,这也使得他成为对 DeFi 生态乃至加密行业安全领域贡献最大、影响力最高的人物之一。
Dragonfly Capital 合伙人 Haseeb 近期就在采访中称,他认为 samczsun 是在 Web3 工作的最聪明的人。Paradigm 另一名合伙人 Dan Robinson 则将他称为加密行业的蝙蝠侠。每当加密生态系统中有大量资金处于危险之中时,就会发出蝙蝠信号,samczsun 就会进来帮助挽救局面。
那么,samczsun 是如何成为如今的顶级白帽黑客的?链捕手在本文中将通过公开资料对他的过往经历进行大致的梳理与归纳。
从 samczsun 的社交媒体资料来看,其最早的网络动态是在 2014 年 11 月,当月他加入 Github并在 11-12 月做出 114 项贡献。
samczsun 最早可追踪的漏洞挖掘记录则是在 2016 年 1 月,当时他在推特 @Enjin 官方推特,表示有严重的安全问题需要解决,随后 Enjin 官推回复并提供了一个报告提交链接。这个 Enjin,就是如今热门 NFT 游戏平台 Enjin,不过当时该项目尚未进入加密与 NFT 赛道。
2017 年,samczsun 在漏洞赏金平台 Hackerone 提交多个项目漏洞,包括印度版美团Zomato、法律合同分析公司 Legal Robot,并在博客发布过多篇漏洞分析文章。
samczsun 首次公开对 DeFi 协议漏洞进行调查研究是在 2019 年 7 月,彼时他向 0x 协议披露其存在的一个智能合约漏洞,允许恶意行为者代表任何已批准的 0x 合约花费其资产的外部拥有账户 (EOA) 创建有效订单,项目方也不得不关闭协议来修补漏洞,并从头开始部署 0x v2.1 智能合约。在这次漏洞事件中,samczsun 获得了 10 万美元赏金。
samczsun 也从此正式开启白帽黑客之路,以相当高产的漏洞研究迅速在 DeFi 行业走红。
此后一年,伴随着 2020 年的 “De-Fi 之夏”热潮,Samczsun 又发现了 ENS、Livepeer、bZx Network、Curve Finance 等诸多加密项目的潜在漏洞。
其中,Curve Finance 的漏洞可以使任何人都可以利用该漏洞耗尽智能合约,ENS 漏洞可以使ENS 用户通过某种方式在将所有权转让给其他人后再度取回所有权,这些都是对项目发展产生重大负面影响的漏洞,足见 samczsun贡献之大。
“构建软件的一个常见误解是,如果系统中的每个组件都经过单独验证是安全的,那么系统本身也是安全的。这种信念在 DeFi 中得到了最好的说明,在 DeFi 中,可组合性是开发人员的第二天性。不幸的是,虽然组合两个组件在大多数情况下可能是安全的,但只需要一个漏洞就会对数百甚至数千名无辜用户造成严重的经济损失。” Samczsun 在发现众多 DeFi 项目漏洞后做出如是总结,“安全的组件也可以聚集在一起,使得某些东西变得不安全。”
2020 年初,samczsun 还在 Gitcoin 平台发起赠款,并成为 Gitocin 第五轮赠款活动募资最多的对象。同期,samczsun 也加入加密安全公司 Trail of Bits 担任安全工程师。
至 2020 年 9 月,已经在 DeFi 安全领域颇具名气的 samczsun 在 Paradigm 创始人邀请下,成为该投资机构的研究合伙人,以“帮助评估潜在投资组合公司的安全状况,协助当前投资组合公司,推进以太坊生态系统的整体安全。”
以太坊执行层漏洞赏金排行榜
此后至今,samczsun 继续其漏洞披露的惯例,涉及 Alpha Homora、DODO、Rari、Tokenlon、ForTube、BendDAO 等项目,其中 Rari 代码漏洞可能会导致 Fuse 池所有可借用资产被盗。在以太坊基金会公布的以太坊执行层漏洞赏金排行榜上,samczsun 也长期位居第一名。此外,samczsun 还曾助 dYdX、Gelato Network 等项目方紧急处理漏洞事件。
其中,最令 samczsun 名声大噪的案例当属 MISO 漏洞事件,帮助项目方避免了高达 3.5 亿美元的资金损失。
2021 年 8 月 17 日,当 samczsun 注意到 SushiSwap IDO 平台 MISO 正在进行史上最大规模的 IDO(BitDAO)时,他随后在 Etherscan 上打开 MISO 的智能合约,很快发现 initMarket 功能没有访问控制,initAuction 调用的函数也不包含访问控制检查。
具体而言,这个漏洞会 MISO 错误地处理荷兰式拍卖中的失败事务,即智能合约不会拒绝超过拍卖代币上限的交易,反而是在拍卖结束后退款给用户。因此,攻击者可以利用 MISO 平台上的漏洞免费竞拍,并获得提交金额和当前出价间的差额退款,直到耗尽合约中的所有资金。也就是说,这个漏洞会使超过该项目募集的 10.9 万个 ETH(当时价值 3.5 亿美元)面临被盗风险。
意识到漏洞的严重性后,samczsun 联系到 Sushi 团队并进行电话会议告知具体漏洞,随后又与项目方密切沟通对智能合约中的资金进行紧急处理,最终在三个小时内解决该次危机。事后,samczsun 获得 Sushi 团队的 100 万 USDC 赏金奖励。
在事后接受 Immunefi 采访时,samczsun 用“兴奋和恐惧的奇怪组合”来描述发现此次漏洞的心情。“兴奋,源于你刚刚找到了你一直在寻找的东西。恐惧,因为时钟正在滴答作响,每过一秒,其他人就会发现同样的错误。我的心率上升与风险量成正比。”
经此一役,samczsun 的影响力从安全圈子拓展到整个加密行业,成为行业内最知名的白帽黑客与加密安全研究者。
不过,samczsun 的突出贡献也隐约暗示着一个不安与残酷的事实,即加密安全的生态仍然相当脆弱,尽管少数像 samczsun 的白帽黑客凭借高度的行业责任感与道德感选择向项目方披露,但大多数黑客在发现漏洞后选择主动攻击从而实现更多获利。
这也导致今年以来各类安全事故仍然接连发生在加密行业,类似 Ronin 跨链桥被盗超6亿美元、Rari Capital 被盗 8000 万美元(尽管此前 samczsun 曾报告该项目重大漏洞并修复)、Beanstalk Farms 被盗超 8000 万美元等事件一次又一次冲击着加密社区的信心。
samczsun 的所有贡献,是行业之幸,但也折射出行业之悲。
注:关于 samczsun 如何理解加密行业黑客生态、如何具体发掘漏洞,可参见《对话“加密蝙蝠侠” samczsun:成为白帽黑客是一种怎样的体验?》。