S6E29|看一篇教程,就能做 Web3 黑客啦?

00:00:00
/
01:13:26

August 31st, 2022

1 hr 13 mins 26 secs

Season 6

Your Host
Special Guests

About this Episode

不会代码也能参与的 Web3 抢劫事件,到底是怎么发生的?今年 8 月初, Web3 领域先后发生了 Nomad 和 Solana 两起影响广泛的黑客攻击导致钱包被盗事件,有创业者重申以太坊创始人 Vitalik 年初对多链生态下跨链项目发展的担忧,也有投资机构选择事后加注 Web3 安全赛道。一个普通人是如何成为 Web3 的白帽黑客?Web3 最成熟的应用领域里都存在哪些重大安全挑战?安全行业在 Web3 是否也存在成本与刚需的悖论?困境之下,从业者如何划定 Web3 生态的安全底线?

本期人物
刘力心,Keystone CEO
周亚金,BlockSec 联合创始人,浙江大学“百人计划”研究员
源楠,CertiK 安全工程师
刘灿,「科技早知道」监制

主要话题
[03:59] 攻击 Nomad 其实很简单?Solana 这个事儿还没结束?
[15:48] 项目方的风控能力有问题?Emergency 机制会产生中心化风险?
[24:21] 跨链项目为什么容易受到攻击?Layer 2 的安全性不仅仅依赖 Layer 1?
[45:59] 项目方能提前防范风险事件吗?线上与线下的逻辑有哪些不同?
[61:07] 安全审计公司怎么看黑客事件?开发者发现不了的安全隐患是?

延伸阅读

  • Web3 知名白帽黑客 samczsun 关于 Nomad 事件的复盘:samczsun
  • Solana 发言人 Austin Federa 对今年8 月份钱包被盗事件的回复:Austin Federa
  • 闪电贷(flashloans):一种金融行为,指代在一笔交易中同时完成贷款动作和还款动作的套利行为,可用于去中心化交易所之间的无风险套利,是 web3 黑客实施攻击的主要手段之一;2018 年由 Marble 协议提出,目前 Aave、Unisway 等平台都有闪电贷功能 ;闪电贷是很多区块链项目开发者的安全盲区,也是当下安全审计公司进行项目审计时最关注的问题之一。
  • 重入攻击(Re-entrancy Callback):利用智能合约基础漏洞所发动的典型攻击行为之一,可分为 single-function 和 cross-function, 2016 年以太坊 TheDAO 项目就遭到了重入攻击并一度暂停交易;目前主流应对重入攻击的主要方法有 Checks-Effects-Interactions 和 Reentrancy Guard。
  • Layer 1:指代底层区块链,大家熟知的比特币、以太坊、Solana 均属于 Layer 1 层级;在交易需求和处理速度的压力下,Layer 1 可以通过 Layer 2 解决方案完成扩容,Nomad、Ronin 等跨链、侧链项目均属于 Layer 2 层级。

使用音乐
Shanghai Institute-Gridded

幕后制作
监制:刘灿、信宇
后期:Luke
运营:Yao
封面设计:饭团

关于节目
原「硅谷早知道」,全新改版后为「What's Next|科技早知道」。放眼全球,聚焦科技发展,关注商业格局变化。

欢迎加入声动胡同会员计划
订阅方式:
国内支付渠道(年付)
国外支付渠道(月付)
「声动胡同」是以声动活泼北京办公室所在的前永康胡同为灵感,为喜欢我们的听众打造的一款社区产品。我们希望在这样的社区里,能让有价值共识的年轻人们在此获得更多源源不断的思考养料,彼此支持和成长。如果你加入成为我们的街坊,将获得以下与我们保持更亲密连接的机会: