慢霧創始人余弦：真正的黑客究竟什么樣？_EAT:ethereal詞源

Hacktocreate，除了這個之外，我們確實都是普通人。而且具備「Hacktocreate」能力的人，這個世界也很多很多。所以，如果我們還不是真的超神，并沒什么特別值得去驕傲的，即使不小心超神了，也沒有人可以一輩子超神。

原文標題：《黑客的一個思考角度》文章來源：公眾號懶人在思考撰文：余弦，區塊鏈安全公司慢霧創始人

余弦，區塊鏈安全公司慢霧創始人

昨晚我在知乎上回答了個問題「真正的黑客是怎么樣的？」，原回答如下：

高中大學期間我也會在琢磨這個問題，差不多是大四開始真正感覺進入了所謂的黑客圈子，那時是XSS/CSRF正要大爆炸的時期，在這個圈子職業工作了數年后，對「真正的黑客」有了自己的標準，就好像每個人的回答可能都不一樣。

慢霧：pGALA合約黑客已獲利430萬美元:11月4日消息，安全團隊慢霧在推特上表示，pGALA合約黑客已將大部分GALA兌換成13,000枚BNB，獲利超430萬美元，該地址仍有450億枚Gala，但不太可能兌現，因為資金池基本已耗盡。此外，黑客的初始資金來自幾個幣安賬戶。

今日早些時候消息，一個BNB Chain上地址在BNB Chain上地址憑空鑄造了超10億美元的pGALA代幣，并通過在PancakeSwap上售出獲利。pNetwork表示此為跨鏈橋配置錯誤所致，GALA跨鏈橋已暫停，請用戶不要在BNB Chain上DEX中交易pGALA。[2022/11/4 12:16:04]

當不斷感受到圈外人對黑客的好奇時，已經是局內人的我有時候會覺得這種好奇很多余，沒什么大不了的，大家都是普通人，但當我參加一些特殊的交流時，才深刻感知到：隔行如隔山的真諦。

慢霧：Solana公鏈上發生大規模盜幣，建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所:8月3日消息，據慢霧區情報，Solana公鏈上發生大規模盜幣事件，大量用戶在不知情的情況下被轉移SOL和SPL代幣，慢霧安全團隊對此事件進行跟蹤分析：

已知攻擊者地址：

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV、CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu、5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n、GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

目前攻擊仍在進行，從交易特征上看，攻擊者在沒有使用攻擊合約的情況下，對賬號進行簽名轉賬，初步判斷是私鑰泄露。不少受害者反饋，他們使用過多種不同的錢包，以移動端錢包為主，我們推測可能問題出現在軟件供應鏈上。在新證據被發現前，我們建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所等相對安全的位置，等待事件分析結果。[2022/8/3 2:55:22]

比如我參加過TEDx；我參加過技術圈的一些不錯的聚會；我參加過物理圈子的活動等等。我看到了不同圈子里的牛人，他們表現出來的感覺多么似曾相識，但又很陌生，畢竟真的是隔行如隔山，我也會想：真正的建筑師是什么樣的？真正的物理學家是什么樣的？當我有這些朋友后，我們互相的感慨是一樣的：大家都是普通人，但如果在自己的圈子成為職業手，一定都會有一種可以看透世界運行法則的能力，無論你是拿起電腦Hacking，還是拿起其他什么設備Hacking，我們都在Hacking，都想突破層層關卡，提升自己的能力，輸出價值，即：創造(Creating)。我及我認為真正的黑客，一定是守正出奇，具備強大創造力的人。

動態 | 慢霧發布有關IOTA用戶Trinity錢包被盜幣攻擊的推測:IOTA 因為近期不少用戶的 Trinity 錢包被盜幣攻擊，為了阻止攻擊繼續、調查與修復具體原因，主網協調器都暫停運行了。這是一個被低估的經典攻擊，官方沒披露具體攻擊細節，但通過慢霧的分析，可以做出某些重要推測，首先可以明確的幾個點：1. 不是 IOTA 區塊鏈協議的問題，是 IOTA 的 Trinity 桌面錢包的問題（官方說的，且先相信）2. 這款桌面錢包基于 Electron(一個使用 JavaScript 為核心構建桌面應用的框架)，意味著核心代碼是 JavaScript 寫的3. 在做該做錢包新舊版本代碼的 diff 分析時，發現去除了之前內置的一個交易所功能模塊 MoonPay，這其中關鍵點是去掉了一段可怕的代碼：const script = document.createElement('script');

script.src = 'https://cdn.moonpay.io/moonpay-sdk.js';

document.write(script.outerHTML)；如果這個第三方 JavaScript 鏈接主動或被黑作惡，那該桌面版錢包就可以認為是完全淪陷了。到這，慢霧很有理由相信這是個很大的定時炸彈，如果這個定時炸彈是真的炸了，那很吻合官方的一些說辭與解釋，如：盡快升級新版本的 Trinity 桌面錢包，盡快改密碼，盡快轉移資產到安全種子里等等。且看官方的后續披露。[2020/2/19]

Hacktocreate，除了這個之外，我們確實都是普通人。而且具備「Hacktocreate」能力的人，這個世界也很多很多。所以，如果我們還不是真的超神，并沒什么特別值得去驕傲的，即使不小心超神了，也沒有人可以一輩子超神。

金色財經獨家采訪 慢霧科技：此次EOS漏洞是真實存在的并且可信度非常高:今日，360表示EOS網絡存在漏洞，對此，金色財經獨家采訪了慢霧科技，慢霧科技表示：這個漏洞本身是存在的并且可信度非常高，而且是可以直接拿到EOS超級節點服務器的權限，360所描述的史詩級漏洞，這種表述不過分。360沒有披露漏洞細節是可以理解的，此次漏洞是在EOS網絡上發布的惡意智能合約，該智能合約可以同步到區塊鏈網絡上，每個超級節點都會同步。這個惡意的智能合約會導致合約的虛擬機被穿透，打穿虛擬機到服務器，從而控制服務器。EOS 超級節點攻擊有幾個入口P2P 端口、RPC 端口、惡意智能合約、服務器與集群等其他缺陷、人員安全缺陷。此次漏洞是第三點從智能合約對區塊鏈網絡進行的攻擊。[2018/5/29]

我在黑客或安全這個圈子職業工作實際上已經進入第12年了，回頭看看自己的分享和創造，不變的還是這句話「Hacktocreate」。只是以前不這樣叫而已，但卻一直是這樣做。

過去這些年的Hacking之路主要覆蓋了：惡意軟件對抗、Web漏洞挖掘、IoT漏洞挖掘、滲透測試/RedTeaming、區塊鏈漏洞挖掘；在Creating之路也做了些事：比如黑客工程，玩黑客的不少人知道的網絡空間搜索引擎ZoomEye，這個誕生到現在也有6年了。Creating是一種很重要的能力，需要具備軟件工程思維、產品思維、商業思維，否則有的東西注定是小打小鬧，不值一提。

過去兩年多，我對Creating有了進一步的實踐，這個實踐就是獨立創業，運營安全公司，聚焦創造可能更大的價值。是的，這個難度最大，幸運的是我有一些不錯的同行者，也做了些正確的選擇，比如聚集RedTeaming的越零一(Joinsec)，聚焦區塊鏈生態安全的慢霧，他們在各自的特定領域努力創造價值。

前幾天，我曾經帶過的一位安全工程師問我：「老大看到這個，有個疑問需要你幫忙解答。是什么驅使你不斷在學習，即使Python已經熟爛于心？總看到你學習新東西或者已經很熟悉的內容。及其佩服。」

我當時沒特別正面回答他這個問題，那么這篇文章會是一個答案。

我不知道未來我會繼續創造出什么，但應該會是有更大價值的東西，如果我的運氣好的話。

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

余弦

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3626568.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

PeckShield深度還原，鎖死MakerDAO中MKR代幣的漏洞是啥？

Tags：EATINGCREREATreat DAONew Guinea Singing InuBTCRED幣ethereal詞源

波場