不会代码也能参与的 Web3 抢劫事件,到底是怎么发生的?今年 8 月初, Web3 领域先后发生了 Nomad 和 Solana 两起影响广泛的黑客攻击导致钱包被盗事件,有创业者重申以太坊创始人 Vitalik 年初对多链生态下跨链项目发展的担忧,也有投资机构选择事后加注 Web3 安全赛道。一个普通人是如何成为 Web3 的白帽黑客?Web3 最成熟的应用领域里都存在哪些重大安全挑战?安全行业在 Web3 是否也存在成本与刚需的悖论?困境之下,从业者如何划定 Web3 生态的安全底线?
本期人物
刘力心,Keystone CEO
周亚金,BlockSec 联合创始人,浙江大学“百人计划”研究员
源楠,CertiK 安全工程师
刘灿,「科技早知道」监制
主要话题
[03:59] 攻击 Nomad 其实很简单?Solana 这个事儿还没结束?
[15:48] 项目方的风控能力有问题?Emergency 机制会产生中心化风险?
[24:21] 跨链项目为什么容易受到攻击?Layer 2 的安全性不仅仅依赖 Layer 1?
[45:59] 项目方能提前防范风险事件吗?线上与线下的逻辑有哪些不同?
[61:07] 安全审计公司怎么看黑客事件?开发者发现不了的安全隐患是?
延伸阅读
- Web3 知名白帽黑客 samczsun 关于 Nomad 事件的复盘:samczsun
- Solana 发言人 Austin Federa 对今年8 月份钱包被盗事件的回复:Austin Federa
- 闪电贷(flashloans):一种金融行为,指代在一笔交易中同时完成贷款动作和还款动作的套利行为,可用于去中心化交易所之间的无风险套利,是 web3 黑客实施攻击的主要手段之一;2018 年由 Marble 协议提出,目前 Aave、Unisway 等平台都有闪电贷功能 ;闪电贷是很多区块链项目开发者的安全盲区,也是当下安全审计公司进行项目审计时最关注的问题之一。
- 重入攻击(Re-entrancy Callback):利用智能合约基础漏洞所发动的典型攻击行为之一,可分为 single-function 和 cross-function, 2016 年以太坊 TheDAO 项目就遭到了重入攻击并一度暂停交易;目前主流应对重入攻击的主要方法有 Checks-Effects-Interactions 和 Reentrancy Guard。
- Layer 1:指代底层区块链,大家熟知的比特币、以太坊、Solana 均属于 Layer 1 层级;在交易需求和处理速度的压力下,Layer 1 可以通过 Layer 2 解决方案完成扩容,Nomad、Ronin 等跨链、侧链项目均属于 Layer 2 层级。
使用音乐
Shanghai Institute-Gridded
幕后制作
监制:刘灿、信宇
后期:Luke
运营:Yao
封面设计:饭团
关于节目
原「硅谷早知道」,全新改版后为「What's Next|科技早知道」。放眼全球,聚焦科技发展,关注商业格局变化。
欢迎加入声动胡同会员计划
订阅方式:
国内支付渠道(年付)
国外支付渠道(月付)
「声动胡同」是以声动活泼北京办公室所在的前永康胡同为灵感,为喜欢我们的听众打造的一款社区产品。我们希望在这样的社区里,能让有价值共识的年轻人们在此获得更多源源不断的思考养料,彼此支持和成长。如果你加入成为我们的街坊,将获得以下与我们保持更亲密连接的机会:
- 每周三封 newsletter 形式的「胡同来信」,获得更多节目之外的信息与故事。
胡同来信试读:「教主来信|像记账一样,记下你花出去的时间」 - 每季度举办一场线上或线下活动,例如已举办了三期的「露天演讲台」、「胡同里的清醒梦」快闪活动。
- 你也可以在邮件中和我们讨论或询问任何事,我们都会一一邮件回复。
Special Guests: 刘力心, 周亚金, and 源楠.
空空如也
