ING:慢雾创始人余弦:真正的黑客究竟什么样?

Hacktocreate,除了这个之外,我们确实都是普通人。而且具备「Hacktocreate」能力的人,这个世界也很多很多。所以,如果我们还不是真的超神,并没什么特别值得去骄傲的,即使不小心超神了,也没有人可以一辈子超神。

原文标题:《黑客的一个思考角度》文章来源:公众号懒人在思考撰文:余弦,区块链安全公司慢雾创始人

余弦,区块链安全公司慢雾创始人

昨晚我在知乎上回答了个问题「真正的黑客是怎么样的?」,原回答如下:

高中大学期间我也会在琢磨这个问题,差不多是大四开始真正感觉进入了所谓的黑客圈子,那时是XSS/CSRF正要大爆炸的时期,在这个圈子职业工作了数年后,对「真正的黑客」有了自己的标准,就好像每个人的回答可能都不一样。

慢雾创始人余弦:助记词/私钥等敏感信息交给对安全不够负责任的钱包来守护简直就是讽刺:金色财经报道,慢雾创始人余弦在社交媒体上针对Atomic Wallet被盗事件称,又一个知名钱包出现严重被盗事件,助记词/私钥如此敏感的信息交给对安全不够负责任或安全等级不足够高的钱包来守护,简直就是讽刺。这里的信息不对称太严重了,连我都难以回答哪些钱包是持续安全的...

助记词/私钥就应该躲在加密芯片、离线环境或可信环境里,用多签/MPC去单点故障也行。

金色财经此前报道,根据ZachXBT统计的数据,Atomic Wallet链上被盗资金已经超过1400万美元,估计至少有2000万美元被盗。[2023/6/4 21:14:36]

当不断感受到圈外人对黑客的好奇时,已经是局内人的我有时候会觉得这种好奇很多余,没什么大不了的,大家都是普通人,但当我参加一些特殊的交流时,才深刻感知到:隔行如隔山的真谛。

慢雾MistTrack:去中心化协议BXH被盗超1.3 亿美元,部分资金已跨链到以太坊和BTC:10月30日消息,去中心化交易协议 BXH于今日在BSC链遭到攻击,目前,初始黑客获利地址(BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79)已将 4000 ETH 从 BSC 链转移到 ETH 链,接着将 300 BTCB 兑换为 renBTC 跨链到地址 (1Jw...9oU 和 1Fr...Vow)。BXH 团队表示在?币?态链( Heco)、OEC 以及以太坊上的资产处于安全状态,但出于安全考虑,官方暂时暂停了存取款服务。慢雾AML将持续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。[2021/10/30 6:21:39]

比如我参加过TEDx;我参加过技术圈的一些不错的聚会;我参加过物理圈子的活动等等。我看到了不同圈子里的牛人,他们表现出来的感觉多么似曾相识,但又很陌生,毕竟真的是隔行如隔山,我也会想:真正的建筑师是什么样的?真正的物理学家是什么样的?当我有这些朋友后,我们互相的感慨是一样的:大家都是普通人,但如果在自己的圈子成为职业手,一定都会有一种可以看透世界运行法则的能力,无论你是拿起电脑Hacking,还是拿起其他什么设备Hacking,我们都在Hacking,都想突破层层关卡,提升自己的能力,输出价值,即:创造(Creating)。我及我认为真正的黑客,一定是守正出奇,具备强大创造力的人。

慢雾安全:警惕Big Data Protocol合约相关风险:据慢雾区消息,知名DeFi项目Big Data Protocol因项目自身代码Bug出现无法正常领取奖励的问题。经慢雾安全团队分析,此问题系Big Data Protocol的BDP代币合约在mint函数中对seePoolAmount变量做了错误的校验,导致合约功能无法正常执行。目前合约用户只能通过紧急提现函数对资金进行提现。但紧急提现函数无法同时提现挖矿收益。

慢雾安全团队提醒用户注意Big Data Protocol合约风险,如有参与,可通过emergency Withdraw函数将资金安全取出。[2021/3/12 18:40:04]

Hacktocreate,除了这个之外,我们确实都是普通人。而且具备「Hacktocreate」能力的人,这个世界也很多很多。所以,如果我们还不是真的超神,并没什么特别值得去骄傲的,即使不小心超神了,也没有人可以一辈子超神。

声音 | 慢雾:EOS假充值红色预警后续:慢雾安全团队今早发布了 EOS 假充值红色预警后,联合 EOSPark 的大数据分析系统持续跟踪和分析发现:从昨日开始,存在十几个帐号利用这类攻击技巧对数字货币交易所、钱包等平台进行持续性攻击,并有被真实攻击情况。慢雾安全团队在此建议各大交易所、钱包、DApp 做好相关防御措施,严格校验发送给自己的转账交易在不可逆的状态下确认交易的执行状态是否为 executed。除此之外,确保以下几点防止其他类型的“假充值”攻击: 1. 判断 action 是否为 transfer 2. 判断合约账号是否为 eosio.token 或其它 token 的官方合约 3. 判断代币名称及精度 4. 判断金额 5. 判断 to 是否是自己平台的充币账号。[2019/3/12]

我在黑客或安全这个圈子职业工作实际上已经进入第12年了,回头看看自己的分享和创造,不变的还是这句话「Hacktocreate」。只是以前不这样叫而已,但却一直是这样做。

过去这些年的Hacking之路主要覆盖了:恶意软件对抗、Web漏洞挖掘、IoT漏洞挖掘、渗透测试/RedTeaming、区块链漏洞挖掘;在Creating之路也做了些事:比如黑客工程,玩黑客的不少人知道的网络空间搜索引擎ZoomEye,这个诞生到现在也有6年了。Creating是一种很重要的能力,需要具备软件工程思维、产品思维、商业思维,否则有的东西注定是小打小闹,不值一提。

过去两年多,我对Creating有了进一步的实践,这个实践就是独立创业,运营安全公司,聚焦创造可能更大的价值。是的,这个难度最大,幸运的是我有一些不错的同行者,也做了些正确的选择,比如聚集RedTeaming的越零一(Joinsec),聚焦区块链生态安全的慢雾,他们在各自的特定领域努力创造价值。

前几天,我曾经带过的一位安全工程师问我:「老大看到这个,有个疑问需要你帮忙解答。是什么驱使你不断在学习,即使Python已经熟烂于心?总看到你学习新东西或者已经很熟悉的内容。及其佩服。」

我当时没特别正面回答他这个问题,那么这篇文章会是一个答案。

我不知道未来我会继续创造出什么,但应该会是有更大价值的东西,如果我的运气好的话。

来源链接:mp.weixin.qq.com

本文来源于非小号媒体平台:

余弦

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3626568.html

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

PeckShield深度还原,锁死MakerDAO中MKR代币的漏洞是啥?

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:15ms0-1:65ms