做为 Paradigm 的科学研究合作伙伴兼安全主管，Samczsun 同时也是加密领域最著名的白帽黑客，没有之一。以往两年，Samczsun 根据向项目方私聊，最少协助二十余个项目提早发觉系统软件漏洞，避免了数亿美元的经济损失，包含 Sushiswap、ENS、Rari 等。

Dragonfly Capital 合作伙伴 Haseeb 最近就在一次访谈中称，他觉得Samczsun 是在 Web3 工作中的智商最高的人。Paradigm 另一名合作伙伴 Dan Robinson 则将他称之为加密领域的蜘蛛侠。每每加密生态系统中有很多资产处在风险当中时，就会传出蜘蛛数据信号，Samczsun就会进去协助拯救局势。那样，Samczsun 是如何成为现如今的顶尖白帽黑客的？

创作者 | 谷昱，链扑手

「U up?」（你醒着吗？）

这一句来源于 Samczsun 的了解，是一切 DeFi 项目方最害怕接到的信息之一，因为这很可能代表着Samczsun 发觉了该项目区块链智能合约存有比较严重漏洞，客户财产随时随地有很有可能被网络黑客盗取。

在加密全球，各种合同的区块链智能合约漏洞司空见惯，变成网络黑客眼里诱惑的「赘肉」。据 Footprint Analytics 统计分析，2021 年最少 90 个 DeFi 项目遭受各种各样进攻，原始损失金额超出 10 亿美金，给一般用户产生很大的损害。但是在网络黑客无所顾忌的与此同时，也是有很多白帽黑客在协助项目方提早挖掘区块链智能合约漏洞。

Samczsun 便是加密领域最著名的密名白帽黑客，没有之一。以往两年，Samczsun 根据向项目方私聊，最少协助二十余个项目提早发觉系统软件漏洞，避免了数亿美元的经济损失，包含 Sushiswap、ENS、Rari、Tokenlon 等。

Samczsun 的宣布真实身份是知名加密风险投资组织 Paradigm 科学研究合作伙伴，致力于 Paradigm 的资产配置企业及其对安全性和有关题材的科学研究，他的全部公布发音几乎都是对加密项目漏洞的汇报与剖析，以维护加密绿色生态的健康发展。

虽然 Samczsun 曾透露会优先考虑核查资产配置公司计划公布新代码，但他公布漏洞的项目绝大多数都并不是 Paradigm 的资产配置项目，比如 Sushiswap、ENS、ForTube、Tokenlon等，这也促使他变成对 DeFi 绿色生态甚至加密领域安全领域奉献较大、感染力最大的角色之一。

Dragonfly Capital 合作伙伴 Haseeb 最近就在一次访谈中称，他觉得 samczsun 是在 Web3 工作中的智商最高的人。Paradigm 另一名合作伙伴 Dan Robinson 则将他称之为加密领域的蜘蛛侠。每每加密生态系统中有很多资产处在风险当中时，就会传出蜘蛛数据信号，Samczsun就会进去协助拯救局势。

那样，Samczsun 是如何成为现如今的顶尖白帽黑客的？链扑手在这篇文章里将根据公开材料对他的过往经历开展大概的归纳与梳理。

从 Samczsun 的社交网络材料看来，其最初的网上动态性是在 2014 年 11 月，当月他添加 Github并在 11-12 月作出 114 项奉献。

Samczsun 最开始可追溯系统的漏洞发掘纪录则是在 2016 年 1 月，那时候他在twiter @Enjin 官方网twiter，表明有明显的安全隐患必须处理，接着 Enjin 官推回应并提供了一个汇报递交连接。这一 Enjin，便是现如今受欢迎 NFT 平台游戏 Enjin，但是当初该项目并未进到加密与 NFT 跑道。

2017 年，Samczsun 在漏洞悬赏金服务平台 Hackerone 递交好几个项目漏洞，包含印度版美团外卖Zomato、法律服务合同剖析企业 Legal Robot，并在博主公布过数篇漏洞剖析文章内容。

Samczsun 初次公布对 DeFi 协议书漏洞开展调查分析是在 2019 年 7 月，彼时他向 0x 协议书公布其存在的一个区块链智能合约漏洞，容许故意个人行为者意味着一切已许可的 0x 合同耗费其资本的外界有着帐户 (EOA) 建立合理订单信息，项目一方迫不得已关掉协议书来修复漏洞，并重新开始布署 0x v2.1 区块链智能合约。在此次漏洞事情中，Samczsun 获得了 10 万美金悬赏金。

Samczsun 也自此宣布打开白帽黑客之途，以非常稳产的漏洞科学研究快速在 DeFi 领域爆红。

自此一年，伴随 2020 年的「DeFi 夏日」风潮，Samczsun 又发现了 ENS、Livepeer、bZx Network、Curve Finance 等众多加密项目的潜在性漏洞。

在其中，Curve Finance 的漏洞可以使所有人都能够运用该漏洞耗光区块链智能合约，ENS 漏洞可以使ENS 客户根据某类方法在将使用权出让给别人后再一次取回来使用权，这些都是对项目发展趋势造成重要不良影响的漏洞，足见 Samczsun 奉献之大。

「搭建手机软件的一个普遍误会是，假如系统软件中的每一个部件都通过独立认证是安全的，那样系统软件自身都是安全的。这类信仰在 DeFi 中得到了最好的表明，在 DeFi 中，可组成性是开发者的第二天性。遗憾的是，尽管组成2个部件在绝大多数情况下可能是安全的，但只需用一个漏洞就会对百余乃至数千名可怜客户导致明显的财产损失。」 Samczsun 在看到诸多 DeFi 项目漏洞后作出如果是汇总，「安全的部件还可以聚集在一起，促使一些物品越来越不安全。」

2020 今年初，Samczsun 仍在 Gitcoin 服务平台进行赠费，并变成 Gitocin 第五轮赠费主题活动融资最多的目标。同时期，Samczsun 也添加加密安全公司 Trail of Bits 出任注安师。

至 2020 年 9 月，早已在 DeFi 安全领域极具知名度的 Samczsun 在 Paradigm 创办人邀约下，变成该风险投资机构的科学研究合作伙伴，以「协助评定潜在性资产配置企业的安全防护情况，帮助现阶段资产配置企业，推动以太币生态体系的总体安全性。」

以太币决策层漏洞悬赏金排名榜

自此迄今，Samczsun 再次其漏洞公布的国际惯例，涉及到 Alpha Homora、DODO、Rari、Tokenlon、ForTube、BendDAO 等项目，在其中 Rari 编码漏洞可能会致使 Fuse 池全部可使用财产失窃。在以太币慈善基金会发布的以太币决策层漏洞悬赏金排名榜上，Samczsun 也长期性稳居第一名。除此之外，Samczsun 还曾助 dYdX、Gelato Network 等项目方应急解决漏洞事情。

在其中，最令 Samczsun 声名鹊起的实例应属 MISO 漏洞事情，协助项目方避免了达到 3.5 亿美金的资产损害。

2021 年 8 月 17 日，当 Samczsun 留意到 SushiSwap IDO 服务平台 MISO 正在进行史上最大范围的 IDO（BitDAO）时，他接着在 Etherscan 上开启 MISO 的区块链智能合约，迅速发觉 initMarket 作用并没有密钥管理，initAuction 启用的函数公式也不包含密钥管理查验。

具体来说，这一漏洞会 MISO 不正确地解决荷兰式拍卖中的不成功事务管理，即区块链智能合约不会拒绝超出竞拍货币限制的买卖，反倒是在竞拍结束后退钱给客户。因而，网络攻击能够运用 MISO 服务平台上的漏洞完全免费竞价，并得到递交额度和现阶段竞价间的差值退钱，直至耗光合同中的全部资产。换句话说，这一漏洞会使超出该项目募资的 10.9 万只 ETH（那时候使用价值 3.5 亿美金）遭遇失窃风险性。

意识到漏洞的严重后，Samczsun 联络到 Sushi 精英团队并开展会议电话告之实际漏洞，接着又与项目方紧密沟通交流对区块链智能合约中的资产开展应急解决，最后在三个小时内处理该次困境。过后，Samczsun 得到 Sushi 精英团队的 100 万 USDC 悬赏金奖赏。

在过后接纳 Immunefi 访谈时，Samczsun 用「激动和害怕的怪异组成」来叙述发觉本次漏洞的情绪。「激动，来源于你刚寻找了你一直在寻找的物品。害怕，由于数字时钟已经滴答作响，每过一秒，别人就会发觉一样的不正确。我的心跳升高与风险性量正相关。」

经此一役，Samczsun 的感染力从安全性社交圈扩展到全部加密领域，变成行业内最著名的白帽黑客与加密安全性学者。

但是，Samczsun 的杰出贡献也隐隐约约预示着一个躁动不安与残酷的客观事实，即加密安全的绿色生态依然非常敏感，各种项目的安全防范意识与防御力良莠不齐，虽然极少数像 Samczsun 的白帽黑客凭着相对高度的领域使命感与道德观念挑选向项目方公布，但大部分网络黑客在发觉漏洞后挑选主动进攻进而完成大量盈利。

这也造成近年来各种安全生产事故依然连续出现在加密领域，相近 Ronin 跨链桥失窃超6亿美金、Rari Capital 失窃8000万美金（虽然先前 Samczsun 曾汇报该项目重要漏洞并修补）、Beanstalk Farms 失窃超 8000 万美金等重要安全事故一次又一次撞击着加密小区的自信心，并造成 DeFi 客户遭受重大损失。

Samczsun 的全部奉献，是领域之幸，但也折射出领域之悲。

非常值得看一下：