寿超凡是Fuzzland的联合创始人兼首席技术官，该公司是一家区块链安全公司，专门为智能合约提供自动化测试工具，同时也是Solayer的开发人员。他还是加州大学伯克利分校天空计算实验室的博士生，他的研究重点是程序分析、安全和分布式系统。^{[1] [2] [3] [4]}

概述

寿超凡已成为区块链安全和程序分析领域的知名人物。他的工作涵盖学术研究、创业和安全工程，为智能合约安全和自动化测试方法做出了重大贡献。寿超凡在识别和解决安全漏洞方面的专业知识，已导致在各种平台上发现了许多关键问题，据报告，漏洞赏金已达到约190万美元。他的研究已在著名的学术会议上发表，并且他还在行业活动中发表了关于区块链安全和模糊测试技术的演讲。^{[1] [2] [3] [4]}

教育背景

寿超凡目前正在加州大学伯克利分校攻读博士学位，在Koushik Sen教授的指导下在天空计算实验室工作。他的博士研究侧重于程序分析、安全和分布式系统。在攻读博士学位之前，寿超凡就读于加州大学圣巴巴拉分校。^{[1] [4]}

职业生涯

寿超凡的职业生涯包括在Salesforce担任安全工程师，在那里他为静态应用程序安全测试（SAST）解决方案、内部网络扫描服务和数据管道做出了贡献。在此期间，他培养了识别各种平台上安全漏洞的专业知识，这为他后来从事区块链技术工作奠定了基础。

在Salesforce工作之后，寿超凡成为区块链安全初创公司Veridise的创始工程师。在Veridise，他领导开发了专门为智能合约和区块链设计的几种自动化测试工具。他在Veridise的工作包括开发Chainsaw，这是一种通过覆盖引导的模糊测试来破坏区块链的工具，他于2022年在智能合约峰会（SBC）上展示了该工具。

寿超凡共同创立了Fuzzland，目前担任首席技术官（CTO）。Fuzzland专注于区块链安全，特别是开发智能合约的自动化测试工具。2024年2月，Fuzzland宣布完成300万美元的种子轮融资，正如寿超凡在Medium帖子中报道的那样。在Fuzzland，寿超凡继续致力于区块链安全的模糊测试技术，并在2023年的BuildETH上展示了“MEV + Fuzzing = DeFi Firewall”。^{[1] [2] [3] [4] [5] [6] [7] [8] [9]}

研究与出版物

寿超凡在智能合约安全、程序分析和分布式系统领域撰写并合著了多篇学术论文。他的著名出版物包括：

• “ItyFuzz: Snapshot-Based Fuzzer for On-Chain Smart Contract Auditing”（ISSTA '23），与Shangyin Tan和Koushik Sen合著；
• “Query Planning for Robust and Scalable Hybrid Network Telemetry Systems”（CoNext '24），与多位合著者合著；
• “Unveiling Collusion-Based Ad Attribution Laundering Fraud: Detection, Analysis, and Security Implications”（CCS '24）；
• “CorbFuzz: Checking Browser Security Policies with Fuzzing”（ASE '21）。^[1]

在他的职业生涯中，寿超凡已经识别并报告了各种平台上的许多安全漏洞。他在2020年至2022年期间对漏洞赏金计划的贡献带来了约190万美元的赏金，包括锁定的代币。他的一些值得注意的安全发现包括：

• RisingWave中的远程代码执行（RCE）漏洞（2024）；
• Devin.ai中的服务器端请求伪造（SSRF）问题，导致用户信息泄露（2024）；
• Twitter中的跨站脚本（XSS）和跨站请求伪造（CSRF）漏洞，可能导致帐户接管（2023）；
• 区块链平台（如Polygon Edge和DogeChain）中的多个验证器拒绝服务（DoS）漏洞（2022）。^[1]

寿超凡在GitHub上保持活跃，并为许多存储库做出了贡献。他置顶的项目包括ItyFuzz，这是一个用于智能合约的字节码级混合模糊器，以及digfuzz，这是一个用于混合模糊测试的概率路径优先级实现的工具。他还为主要的开源项目做出了贡献，如LibAFL和Facebook的Hermes JavaScript引擎。^{[1] [3] [5] [5]}

演讲活动

寿超凡曾在各种行业活动中展示了他的工作，包括：

• 2023年在BuildETH上代表Fuzzland发表的“MEV + Fuzzing = DeFi Firewall”；
• 2022年在智能合约峰会（SBC）上代表Veridise发表的“Chainsaw: Breaking Blockchains With Coverage-Guided Fuzzing”。^{[1] [4]}

访谈

缓解智能合约攻击 #01

2024年8月16日，寿超凡出现在加密货币和合约IC3倡议的YouTube频道上的一次访谈中，提出了他对智能合约攻击的挑战和防御策略的看法。寿超凡表示，2024年的损失已经超过1亿美元，其中值得注意的事件包括Ronin Bridge漏洞利用以及多次对经过多次审计但未解决关键缺陷的协议的黑客攻击。

寿超凡指出，许多攻击是通过私有RPC发生的，这阻止了抢跑机器人检测和阻止恶意交易在被挖掘之前。防御者和攻击者机器人之间的激烈竞争，加上飞涨的gas费用，大大降低了链上救援尝试的有效性，他指出，仅使用抢跑在2024年没有成功的资金追回。

根据这位研究人员的说法，攻击的准备阶段存在一个反复出现的模式：攻击者通常在执行恶意交易之前部署漏洞利用合约。寿超凡认为，这个细节为主动干预打开了一个窗口。通过监控和分析新部署的合约，防御团队可以重新利用这些相同的漏洞来劫持原始攻击，从而大大增加资金追回的机会。

为了使这个概念能够运作，寿超凡提出了创建一个能够实时预测攻击参数或重建漏洞利用交易的“神秘预言机”。自2023年1月以来进行的实验表明，通过优化的参数和漏洞利用劫持技术，有可能追回高达1.2亿美元的被盗资金。

最后，寿超凡强调了结合链上分析、研究团队之间的合作以及新方法（如合约的程序化修复）来创建动态防御机制的重要性。他认为，利用历史攻击数据和预测模型对于防止未来损失和更有效地保护区块链生态系统至关重要。^[10]