암호화 업계 최고의 화이트햇 해커 Samczsun은 어떻게 탄생했을까요?

원작자: 구유

Paradigm의 ​​연구 파트너이자 보안 책임자인 Samczsun은 암호화 업계에서 가장 잘 알려진 화이트 햇 해커 중 한 명이기도 합니다. 지난 몇 년 동안 Samczsun은 최소 20개의 프로젝트가 시스템 취약성을 사전에 발견하도록 도왔고 Sushiswap, ENS, Rari 등을 포함한 프로젝트 당사자에게 비공개 메시지를 통해 수억 달러의 손실을 피했습니다.

Dragonfly Capital의 파트너인 Haseeb은 최근 인터뷰에서 Samczsun이 Web3에서 일하는 가장 똑똑한 사람이라고 생각한다고 말했습니다. Paradigm의 ​​또 다른 파트너인 Dan Robinson은 그를 암호화 업계의 배트맨이라고 불렀습니다. 암호화폐 생태계에 위험에 처한 많은 돈이 있을 때마다 배트 신호가 전송되고 Samczsun이 개입하여 문제를 해결합니다. 그렇다면 Samczsun은 어떻게 오늘날 최고의 화이트 햇 해커 중 하나가 되었습니까?

"어?" (일어났어?)

Samczsun의 이 질문은 모든 DeFi 프로젝트 당사자가 가장 두려워하는 뉴스 중 하나입니다. Samczsun이 프로젝트의 스마트 계약에서 심각한 허점을 발견했으며 사용자 자산이 언제든지 해커에 의해 도난당할 수 있음을 의미하기 때문입니다.

암호화된 세계에서 다양한 프로토콜의 스마트 계약 허점은 일반적이며 해커의 눈에는 매력적인 "살찐 고기"가 되었습니다. Footprint Analytics 통계에 따르면 2021년에는 최소 90개의 DeFi 프로젝트가 다양한 공격에 직면할 것이며 초기 손실은 미화 10억 달러 이상으로 일반 사용자에게 큰 손실을 입힐 것입니다. 그러나 해커들이 무모하게 행동하는 반면, 프로젝트 당사자들이 스마트 컨트랙트 취약점을 미리 발견하도록 돕는 백수 해커들도 많이 있습니다.

Samczsun은 암호화 업계에서 가장 잘 알려진 익명의 화이트햇 해커 중 한 명입니다. 지난 몇 년 동안 Samczsun은 Sushiswap, ENS, Rari, Tokenlon 등 프로젝트 당사자에게 개인 메시지를 보내 최소 20개 프로젝트가 시스템 취약성을 사전에 발견하고 수억 달러의 손실을 피하도록 도왔습니다.

Samczsun의 공식적인 정체성은 Paradigm의 ​​포트폴리오 회사와 보안 및 관련 주제에 대한 연구에 중점을 둔 잘 알려진 암호화 벤처 캐피탈 기관인 Paradigm Research Partner입니다.그의 거의 모든 공개 성명은 암호화 프로젝트의 건강한 발전을 보호하기 위한 보고서 및 분석입니다. 암호화 생태.

Samczsun은 새로운 코드를 출시할 계획인 포트폴리오 회사를 우선적으로 검토할 것이라고 말했지만, 그가 공개한 취약점의 대부분은 Sushiswap, ENS, ForTube, Tokenlon 등과 같은 Paradigm의 ​​포트폴리오 프로젝트가 아닙니다. DeFi 생태계의 핵심 플레이어이자 암호화 산업의 보안 분야에서 가장 영향력 있는 인물 중 하나이기도 합니다.

Dragonfly Capital의 파트너인 Haseeb은 최근 인터뷰에서 samczsun이 Web3에서 일하는 가장 똑똑한 사람이라고 생각한다고 말했습니다. Paradigm의 ​​또 다른 파트너인 Dan Robinson은 그를 암호화 업계의 배트맨이라고 불렀습니다. 암호화폐 생태계에 위험에 처한 많은 돈이 있을 때마다 배트 신호가 전송되고 Samczsun이 개입하여 문제를 해결합니다.

그렇다면 Samczsun은 어떻게 오늘날 최고의 화이트 햇 해커 중 하나가 되었습니까? 이번 글에서는 체인캐쳐가 공개된 정보를 통해 자신의 지난 경험을 대략적으로 정리하여 정리합니다.

Samczsun의 소셜 미디어 프로필을 보면 그의 초기 네트워크 활동은 2014년 11월에 Github에 합류하여 11월-12월에 114개의 기여를 한 것입니다.

Samczsun의 초기 추적 가능한 취약점 마이닝 기록은 2016년 1월 @Enjin의 공식 트위터에 해결해야 할 심각한 보안 문제가 있다고 말한 후 Enjin의 공식 트윗에 응답하고 보고서 제출 링크를 제공한 것입니다. 이 Enjin은 현재 인기 있는 NFT 게임 플랫폼인 Enjin이지만 당시 프로젝트는 아직 암호화 및 NFT 트랙에 진입하지 않았습니다.

2017년에 Samczsun은 법적 계약 분석 회사인 Legal Robot인 Zomato의 인도 버전을 포함하여 버그 바운티 플랫폼 Hackerone에 여러 프로젝트 취약점을 제출하고 그의 블로그에 여러 취약점 분석 기사를 게시했습니다.

DeFi 프로토콜 취약점에 대한 Samczsun의 첫 번째 공개 조사는 2019년 7월 0x 프로토콜에 악의적인 행위자가 승인된 0x 계약을 대신하여 자산을 사용할 수 있는 스마트 계약 취약점이 존재한다고 공개했을 때 외부 소유 계정(EOA)을 생성하기 위해 유효한 주문에 따라 프로젝트 당사자는 취약성을 패치하고 처음부터 0x v2.1 스마트 계약을 배포하기 위해 계약을 종료해야 했습니다. 이 위반으로 Samczsun은 $100,000의 포상금을 받았습니다.

그 이후로 Samczsun은 화이트 햇 해킹의 길을 공식적으로 시작했으며, 매우 생산적인 취약점 연구로 DeFi 업계에서 빠르게 인기를 얻었습니다.

이듬해 2020년 "Summer of DeFi" 붐과 함께 Samczsun은 ENS, Livepeer, bZx Network 및 Curve Finance와 같은 많은 암호화 프로젝트에서 잠재적인 취약점을 발견했습니다.

그 중 Curve Finance의 취약점은 누구나 이 취약점을 악용하여 스마트 컨트랙트를 소진시킬 수 있으며, ENS 취약점은 ENS 사용자가 일정한 방식으로 소유권을 타인에게 양도한 후 소유권을 되찾을 수 있다는 점에서 부정적인 영향이 큰 취약점입니다. Samczsun의 위대한 공헌.

"소프트웨어 구축에 대한 일반적인 오해는 시스템의 각 구성 요소가 개별적으로 안전한 것으로 확인되면 시스템 자체도 안전하다는 것입니다. 이러한 믿음은 구성 가능한 보안이 개발자에게 제2의 천성인 DeFi에서 가장 잘 설명됩니다. 불행히도, 대부분의 경우 두 가지 구성 요소를 결합하는 것이 안전할 수 있으며, 수백 또는 수천 명의 무고한 사용자에게 심각한 재정적 피해를 입힐 수 있는 단일 취약점만 있으면 됩니다.” Samczsun은 DeFi 프로젝트에서 많은 허점을 발견한 후 결론을 내렸습니다."보안 구성 요소도 함께 모여 안전하지 않은 것을 만들 수 있습니다."

2020년 초 Samczsun은 Gitcoin 플랫폼에서 보조금을 시작했으며 가장 많은 자금이 모금된 Gitocin의 5차 보조금의 대상이 되었습니다. 동시에 Samczsun은 암호화 보안 회사인 Trail of Bits에 보안 엔지니어로 합류했습니다.

이미지 설명

Ethereum 경영진 계층 버그 바운티 순위표

그 이후로 Samczsun은 Alpha Homora, DODO, Rari, Tokenlon, ForTube, BendDAO 및 기타 프로젝트와 관련된 취약성 공개 관행을 계속해 왔으며, 그 중 Rari 코드 취약성은 Fuse 풀의 모든 차용 자산 도난으로 이어질 수 있습니다. Samczsun은 오랫동안 이더리움 재단이 발표한 이더리움 경영진 계층 버그 바운티 목록에서도 1위를 차지했습니다. 또한 Samczsun은 dYdX 및 Gelato Network와 같은 프로젝트 당사자가 취약성 사건을 긴급하게 처리하도록 도왔습니다.

그 중 Samczsun을 가장 유명하게 만든 사례는 프로젝트 당사자가 최대 3억 5천만 달러의 금전적 손실을 피할 수 있었던 MISO 취약점 사건이었습니다.

2021년 8월 17일 Samczsun은 SushiSwap IDO 플랫폼 MISO가 역사상 가장 큰 IDO(BitDAO)를 수행하고 있음을 알아차리고 Etherscan에서 MISO 스마트 계약을 열었고 곧 initMarket 기능에 액세스 제어가 없음을 발견했습니다. initAuction 호출 함수에는 액세스 제어 검사도 포함되어 있지 않습니다.

특히 이 버그는 MISO가 네덜란드 경매에서 실패한 거래를 잘못 처리할 수 있게 합니다. 즉, 스마트 계약은 경매 토큰 한도를 초과하는 거래를 거부하지 않고 대신 경매가 끝난 후 사용자에게 환불합니다. 따라서 공격자는 MISO 플랫폼의 취약점을 악용하여 무료로 입찰하고 계약의 모든 자금이 소진될 때까지 제출된 금액과 현재 입찰가의 차액을 환불받을 수 있습니다. 즉, 이 취약점으로 인해 프로젝트에서 모금한 109,000 ETH(당시 3억 5천만 달러 상당) 이상을 도난당할 위험이 있습니다.

취약점의 심각성을 인지한 Samczsun은 Sushi 팀에 연락하여 전화 회의를 진행하여 특정 취약점을 알리고 프로젝트 당사자와 긴밀히 소통하여 스마트 계약 자금을 긴급하게 처리하고 마침내 위기를 해결했습니다. 3시간 이내. 이후 Samczsun은 Sushi 팀으로부터 100만 USDC의 포상금을 받았습니다.

이후 Immunefi와의 인터뷰에서 Samczsun은 취약점 발견을 "흥분과 공포의 이상한 조합"이라고 설명했습니다. "당신이 찾고 있던 것을 방금 찾았다는 흥분. 시계가 똑딱거리고 매초가 지나가기 때문에 다른 사람이 같은 실수를 발견하기 때문에 두려움. 내 심박수는 위험의 양에 정비례하여 올라갑니다."

이 전투 후 Samczsun의 영향력은 보안계에서 전체 암호화 산업으로 확장되어 업계에서 가장 유명한 화이트 햇 해커 및 암호화 보안 연구원이 되었습니다.

그러나 Samczsun의 뛰어난 공헌은 또한 불안하고 잔인한 사실, 즉 암호화 보안 생태계가 여전히 상당히 취약하고 다양한 프로젝트의 보안 인식 및 방어 기능이 고르지 않다는 것을 막연하게 암시합니다.업계의 책임감과 도덕성은 선택합니다. 프로젝트 당사자에게 공개하지만 대부분의 해커는 더 많은 이익을 얻기 위해 허점을 발견한 후 적극적인 공격을 선택합니다.

Samczsun의 모든 공헌은 업계에 축복이지만 업계의 비극을 반영하기도 합니다.

Samczsun의 모든 공헌은 업계에 축복이지만 업계의 비극을 반영하기도 합니다.