S6E29｜看一篇教程，就能做 Web3 黑客啦？

不会代码也能参与的 Web3 抢劫事件，到底是怎么发生的？今年 8 月初， Web3 领域先后发生了 Nomad 和 Solana 两起影响广泛的黑客攻击导致钱包被盗事件，有创业者重申以太坊创始人 Vitalik 年初对多链生态下跨链项目发展的担忧，也有投资机构选择事后加注 Web3 安全赛道。一个普通人是如何成为 Web3 的白帽黑客？Web3 最成熟的应用领域里都存在哪些重大安全挑战？安全行业在 Web3 是否也存在成本与刚需的悖论？困境之下，从业者如何划定 Web3 生态的安全底线？

本期人物
刘力心，Keystone CEO
周亚金，BlockSec 联合创始人，浙江大学“百人计划”研究员
源楠，CertiK 安全工程师
刘灿，「科技早知道」监制

主要话题
[03:59] 攻击 Nomad 其实很简单？Solana 这个事儿还没结束？
[15:48] 项目方的风控能力有问题？Emergency 机制会产生中心化风险？
[24:21] 跨链项目为什么容易受到攻击？Layer 2 的安全性不仅仅依赖 Layer 1？
[45:59] 项目方能提前防范风险事件吗？线上与线下的逻辑有哪些不同？
[61:07] 安全审计公司怎么看黑客事件？开发者发现不了的安全隐患是？

延伸阅读

• Web3 知名白帽黑客 samczsun 关于 Nomad 事件的复盘：samczsun
• Solana 发言人 Austin Federa 对今年8 月份钱包被盗事件的回复：Austin Federa
• 闪电贷（flashloans）：一种金融行为，指代在一笔交易中同时完成贷款动作和还款动作的套利行为，可用于去中心化交易所之间的无风险套利，是 web3 黑客实施攻击的主要手段之一；2018 年由 Marble 协议提出，目前 Aave、Unisway 等平台都有闪电贷功能 ；闪电贷是很多区块链项目开发者的安全盲区，也是当下安全审计公司进行项目审计时最关注的问题之一。
• 重入攻击（Re-entrancy Callback）：利用智能合约基础漏洞所发动的典型攻击行为之一，可分为 single-function 和 cross-function， 2016 年以太坊 TheDAO 项目就遭到了重入攻击并一度暂停交易；目前主流应对重入攻击的主要方法有 Checks-Effects-Interactions 和 Reentrancy Guard。
• Layer 1：指代底层区块链，大家熟知的比特币、以太坊、Solana 均属于 Layer 1 层级；在交易需求和处理速度的压力下，Layer 1 可以通过 Layer 2 解决方案完成扩容，Nomad、Ronin 等跨链、侧链项目均属于 Layer 2 层级。

使用音乐
Shanghai Institute-Gridded

幕后制作
监制：刘灿、信宇
后期：Luke
运营：Yao
封面设计：饭团

关于节目
原「硅谷早知道」，全新改版后为「What's Next｜科技早知道」。放眼全球，聚焦科技发展，关注商业格局变化。

欢迎加入声动胡同会员计划
订阅方式：
国内支付渠道（年付）
国外支付渠道（月付）
「声动胡同」是以声动活泼北京办公室所在的前永康胡同为灵感，为喜欢我们的听众打造的一款社区产品。我们希望在这样的社区里，能让有价值共识的年轻人们在此获得更多源源不断的思考养料，彼此支持和成长。如果你加入成为我们的街坊，将获得以下与我们保持更亲密连接的机会：

• 每周三封 newsletter 形式的「胡同来信」，获得更多节目之外的信息与故事。 胡同来信试读：「教主来信｜像记账一样，记下你花出去的时间」
• 每季度举办一场线上或线下活动，例如已举办了三期的「露天演讲台」、「胡同里的清醒梦」快闪活动。
• 你也可以在邮件中和我们讨论或询问任何事，我们都会一一邮件回复。