Chaofan Shou 是 Fuzzland 的联合创始人兼首席技术官，Fuzzland 是一家专注于智能合约自动化测试工具的区块链安全公司。他也是 Solayer 的软件工程师。他还因发现并公开了 Anthropic 的 AI 编程助手 Claude Code 的重大源代码泄露事件而闻名。 ^{[1] [2] [6] [4]}​

概述

Chaofan Shou 已成为区块链安全和程序分析领域的知名人物。他的工作涵盖学术研究、创业和安全工程，在智能合约安全和自动化测试方法论方面做出了重大贡献。Shou 在识别和解决安全漏洞方面的专业知识使他在各个平台上发现了众多关键问题，报告的漏洞赏金累计达到约 190 万美元。他的研究成果已发表在顶级的学术会议上，并曾在专注于区块链安全和模糊测试技术的行业活动中发表过演讲。 ^{[1] [2] [6] [4]}

教育背景

从 2022 年 8 月到 2025 年，Shou 在加州大学伯克利分校攻读计算机科学博士学位，随后退学。在校期间，他在 Koushik Sen 教授的指导下在 Sky Computing 实验室工作，研究方向集中在程序分析、安全和分布式系统。在攻读博士学位之前，他于 2019 年 10 月至 2021 年 12 月就读于加州大学圣巴巴拉分校，并获得计算机科学学士学位。 ^{[1] [4]}​

职业生涯

Shou 的职业生涯包括在 Salesforce 担任安全工程师，负责静态应用安全测试 (SAST) 解决方案、内部网络扫描服务和数据管道。在此期间，他积累了识别各平台安全漏洞的专业知识，这为他后来从事区块链技术工作奠定了基础。

在 Salesforce 任职之后，Shou 成为区块链安全初创公司 Veridise 的创始工程师。在 Veridise，他领导开发了数个专门为智能合约和区块链设计的自动化测试工具。他在 Veridise 的工作包括开发 Chainsaw，这是一种通过覆盖引导模糊测试来破解区块链的工具，他曾在 2022 年的智能合约峰会 (SBC) 上展示过该工具。

Shou 联合创立了 Fuzzland 并担任首席技术官 (CTO)。Fuzzland 专注于区块链安全，特别是开发智能合约的自动化测试工具。2024 年 2 月，Fuzzland 宣布完成 300 万美元的种子轮融资。在 Fuzzland 被 Solayer 收购后，Shou 加入 Solayer 担任软件工程师，致力于高性能 SVM 区块链的开发。 ^{[2] [6] [7] [8]}​

研究与出版物

Shou 在智能合约安全、程序分析和分布式系统领域撰写并合著了多篇学术论文。他的代表性出版物包括：

• "ItyFuzz: Snapshot-Based Fuzzer for On-Chain Smart Contract Auditing" (ISSTA '23)，与 Shangyin Tan 和 Koushik Sen 合著；
• "Rare-Seed Generation for Fuzzing" (ISSTA '23)；
• "Query Planning for Robust and Scalable Hybrid Network Telemetry Systems" (CoNext '24)，与多位作者合著；
• "Unveiling Collusion-Based Ad Attribution Laundering Fraud: Detection, Analysis, and Security Implications" (CCS '24)；
• "CorbFuzz: Checking Browser Security Policies with Fuzzing" (ASE '21)。 ^[1]

Shou 在 GitHub 上保持活跃，为众多代码库做出了贡献。他的置顶项目包括 ItyFuzz（一种用于智能合约的字节码级混合模糊测试器）和 digfuzz（一种用于混合模糊测试的概率路径优先级实现）。他还为 LibAFL 和 Facebook 的 Hermes JavaScript 引擎等主要开源项目做出了贡献。 ^{[1] [6] [5] [5]}​

著名漏洞赏金与漏洞披露

在 2020 年至 2022 年期间，Chaofan Shou 积极参与漏洞赏金计划，获得了约 190 万美元的奖励（包括锁定代币）。他的发现涵盖了广泛的关键安全和隐私漏洞。 ^[1]​

安全问题

• 2024 - RisingWave: 任何具有只读/低权限账户的计算节点上的远程代码执行 (RCE)。
• 2024 - Devin.ai: SSRF 导致用户信息泄露和系统被完全接管。
• 2024 - Kaito: API 问题导致用户信息泄露和系统被完全接管。
• 2024 - Etherscan: XSS + Cloudflare 绕过，可接管所有账户/协助网络钓鱼。
• 2023 - Twitter: XSS + CSRF + CSP 绕过，导致所有 Twitter 账户被接管。
• 2023 - Gate.io 交易所: CSRF 导致用户仓位被操纵。
• 2023 - FreedomFi: 授权绕过导致 7000 多个矿机上的命令执行 (RCE)。
• 2022 - Polygon Edge: 多个验证者 DoS 导致容易受到 51%（技术上为 2/3）攻击。
• 2022 - DogeChain: 多个验证者 DoS 和创世合约关键逻辑缺陷 => 通过分叉修复。
• 2022 - FTX OTC: 需要特定用户交互的反射型 XSS。
• 2022 - IBAX Network: 多个验证者 DoS 导致容易受到 51% 攻击。
• 2022 - FastRLP: 解析区块数据时索引越界。
• 2022 - Ethgo: 解码交易和日志时的内存漏洞。
• 2022 - Deeper Network: 数据包解析中的内存漏洞导致 3 万多个矿机上的 RCE。
• 2021 - React Native / Hermes: 递归 JS 代理导致的内存漏洞。
• 2021 - FTX US: 请求走私导致潜在用户交易信息泄露。
• 2021 - CVS Pharmacy: SSRF + TLS 中毒导致所有内部系统被公开访问。
• 2021 - Helium: 逻辑错误导致挖矿机制易被操纵。
• 2020 - 网易邮箱: XSS + CSP 绕过，可导致所有企业客户账户被接管。
• 2020 - 百度: 多个存储型 XSS，可导致 2.18 亿个账户被接管。
• 2019 - Gogs: 导致策略绕过的竞态条件。
• 2019 - 网易: XSS + CSRF，可导致 10 亿多个账户被接管。
• 2016 - 上海政府: 100 多个 SQL 注入 / LFI 等。

隐私问题

• 2021 - Comcast: 恶意用户可以劫持网络流量。
• 2021 - Google Nest: 导致用户行为泄露的侧信道。
• 2021 - MyQ: 导致用户行为泄露的侧信道。
• 2021 - Samsung Home: 导致用户行为泄露的侧信道。
• 2020 - 爱奇艺: API 中的用户 PII（个人身份信息）泄露。
• 2020 - Mail.ru: API 中的用户 PII 泄露。
• 2017 - 百度: API 中的用户 PII 泄露。

采访

缓解智能合约攻击 #01

2024 年 8 月 16 日，Chaofan Shou 接受了 IC3（加密货币与合约倡议）YouTube 频道的采访，提出了他对智能合约攻击的挑战和防御策略的看法。据 Shou 称，2024 年的损失已超过 1 亿美元，其中著名的事件包括 Ronin 跨链桥漏洞，以及一些协议在经过多次审计但未解决关键缺陷的情况下反复被黑。 $$widget0

$$ Shou 指出，许多攻击是通过私有 RPC 发生的，这阻止了抢跑机器人 (front-running bots) 在恶意交易被打包之前检测并阻止它们。防御机器人与攻击机器人之间的激烈竞争，加上飙升的 Gas 费用，大大降低了链上救援尝试的有效性。他指出，2024 年没有一例仅通过抢跑就成功追回资金的案例。

根据这位研究员的说法，攻击的准备阶段存在一种反复出现的模式：攻击者通常在执行恶意交易前一刻部署攻击合约。Shou 认为，这一细节为主动干预打开了窗口。通过监控和分析新部署的合约，防御团队可以重新利用这些攻击手段来劫持原始攻击，从而显著增加资金追回的机会。

为了将这一概念付诸实践，Chaofan Shou 提议创建一个能够实时预测攻击参数或重构攻击交易的“神秘预言机”。在自 2023 年 1 月以来进行的实验中，他的团队证明，通过优化的参数和攻击劫持技术，有可能追回高达 1.2 亿美元的受损资金。

最后，Shou 强调了结合链上分析、研究团队间的协作以及新方法（如合约的程序化修复）来创建动态防御机制的重要性。在他看来，利用历史攻击数据和预测模型对于防止未来损失和更有效地保护区块链生态系统至关重要。 ^[9]

Anthropic Claude Code 泄露事件

2026 年 3 月，Shou 发现并公开了 Anthropic 的 AI 编程助手 Claude Code 的重大源代码泄露事件。3 月 31 日，他透露该工具的完整源代码由于产品发布包装中的人为错误而意外向公众曝光。一个包含在公共 npm 包（版本 2.1.88）中的 JavaScript 源映射文件 (.map) 包含了一个允许下载完整代码库的引用，总计超过 512,000 行 TypeScript 代码。Shou 在 X（原 Twitter）上揭露了这次泄露，暴露了内部架构、未发布的功能以及内部模型的代号。 ^{[10] [11] [12]}