S6E29|看一篇教程,就能做 Web3 黑客啦?
What's Next|科技早知道 - En podcast af 声动活泼
不会代码也能参与的 Web3 抢劫事件,到底是怎么发生的?今年 8 月初, Web3 领域先后发生了 Nomad 和 Solana 两起影响广泛的黑客攻击导致钱包被盗事件,有创业者重申以太坊创始人 Vitalik 年初对多链生态下跨链项目发展的担忧,也有投资机构选择事后加注 Web3 安全赛道。一个普通人是如何成为 Web3 的白帽黑客?Web3 最成熟的应用领域里都存在哪些重大安全挑战?安全行业在 Web3 是否也存在成本与刚需的悖论?困境之下,从业者如何划定 Web3 生态的安全底线? 本期人物 刘力心,Keystone CEO 周亚金,BlockSec 联合创始人,浙江大学“百人计划”研究员 源楠,CertiK 安全工程师 刘灿,「科技早知道」监制 主要话题 [03:59] 攻击 Nomad 其实很简单?Solana 这个事儿还没结束? [15:48] 项目方的风控能力有问题?Emergency 机制会产生中心化风险? [24:21] 跨链项目为什么容易受到攻击?Layer 2 的安全性不仅仅依赖 Layer 1? [45:59] 项目方能提前防范风险事件吗?线上与线下的逻辑有哪些不同? [61:07] 安全审计公司怎么看黑客事件?开发者发现不了的安全隐患是? 延伸阅读 Web3 知名白帽黑客 samczsun 关于 Nomad 事件的复盘:samczsun Solana 发言人 Austin Federa 对今年8 月份钱包被盗事件的回复:Austin Federa 闪电贷(flashloans):一种金融行为,指代在一笔交易中同时完成贷款动作和还款动作的套利行为,可用于去中心化交易所之间的无风险套利,是 web3 黑客实施攻击的主要手段之一;2018 年由 Marble 协议提出,目前 Aave、Unisway 等平台都有闪电贷功能 ;闪电贷是很多区块链项目开发者的安全盲区,也是当下安全审计公司进行项目审计时最关注的问题之一。 重入攻击(Re-entrancy Callback):利用智能合约基础漏洞所发动的典型攻击行为之一,可分为 single-function 和 cross-function, 2016 年以太坊 TheDAO 项目就遭到了重入攻击并一度暂停交易;目前主流应对重入攻击的主要方法有 Checks-Effects-Interactions 和 Reentrancy Guard。 Layer 1:指代底层区块链,大家熟知的比特币、以太坊、Solana 均属于 Layer 1 层级;在交易需求和处理速度的压力下,Layer 1 可以通过 Layer 2 解决方案完成扩容,Nomad、Ronin 等跨链、侧链项目均属于 Layer 2 层级。 使用音乐 Shanghai Institute-Gridded 幕后制作 监制:刘灿、信宇 后期:Luke 运营:Yao 封面设计:饭团 关于节目 原「硅谷早知道」,全新改版后为「What's Next|科技早知道」。放眼全球,聚焦科技发展,关注商业格局变化。 欢迎加入声动胡同会员计划 订阅方式: 国内支付渠道(年付) 国外支付渠道(月付) 「声动胡同」是以声动活泼北京办公室所在的前永康胡同为灵感,为喜欢我们的听众打造的一款社区产品。我们希望在这样的社区里,能让有价值共识的年轻人们在此获得更多源源不断的思考养料,彼此支持和成长。如果你加入成为我们的街坊,将获得以下与我们保持更亲密连接的机会: 每周三封 newsletter 形式的「胡同来信」,获得更多节目之外的信息与故事。 胡同来信试读:「教主来信|像记账一样,记下你花出去的时间」 每季度举办一场线上或线下活动,例如已举办了三期的「露天演讲台」、「胡同里的清醒梦」快闪活动。 你也可以在邮件中和我们讨论或询问任何事,我们都会一一邮件回复。 Special Guests: 刘力心, 周亚金, and 源楠.