NAR:安全公司：zkSNARK合约“输入假名”漏洞致众多混币项目爆雷，需更新底层库

7月29日据安比实验室消息，大量零知识证明项目由于错误地使用了某个zkSNARKs合约库，引入“输入假名(InputAliasing)”漏洞，可导致伪造证明、双花、重放等攻击行为发生，且攻击成本极低。众多以太坊社区开源项目受影响，其中包括三大最常用的zkSNARKs零知开发库snarkjs、ethsnarks、ZoKrates，以及近期大热的三个混币应用hopper、Heiswap、Miximus。备注：所有使用了该zkSNARKs密码学合约库的项目都应该立即开展自查，评估是否受影响。修复很简单。仅需在验证函数中添加对输入参数大小的校验，强制要求input值小于上面提到的q值。即严禁“输入假名”，杜绝使用多个数表示同一个点。所幸的是，目前常见的zkSNARKs合约库都火速进行了更新，从底层库层面杜绝“输入假名”。

Solana官方：工程团队正在安全公司的协助下调查本次事件:8月3日消息，Solana Status官方在社交媒体上发文表示，来自多个生态系统的工程师正在几家安全公司的帮助下调查本次大规模钱包被盗事件，目前没有证据表明硬件钱包会受到影响，调查获得进展将尽快公布后续信息。[2022/8/3 2:55:21]

Blockdaemon收购数字资产安全公司Sepior:金色财经报道，加密基础设施提供商Blockdaemon日前收购了丹麦初创公司Sepior，后者是一家为机构客户提供密钥管理服务的数字资产安全公司，收购价格未公开。这是该公司两年来的第四次收购，最近一次是在今年3月，Blockdaemon收购了NFT聚合器Gem。（techcrunch）[2022/7/20 2:26:38]

安全公司：Fei Protocol重大漏洞，可能造成6400-8000万美金的损失:4月30日，据CertiK技术团队消息，2022年4月30日，Fei Protocol宣布他们正在调查Rari Fuse池上的一个漏洞。目前该项目已经暂停了所有借款以减少进一步的损失并公开向攻击者提供1000万美元以归还用户的资金，并保证不事后进行追问。

目前，攻击者已经向Tornado Cash发送了5400个ETH（约15,298,900美元），不过他们的钱包里仍持有64,245,245.43美元。

这次攻击已经耗尽了Rari币池的资金，而Fei币池（Tribe，Curve）仍然没有受到影响。一位Rari团队成员一直在回答问题，并表示 \"Fuse中的一些借贷人可能受到影响\"，以及 \"Fuse池中的PCV可能有风险\"。该Rari团队成员还证实，只有可借贷的资产是易受攻击的，不过目前已好转。

Fei Protocol在本月初曾遇到一些问题：他们通过漏洞赏金计划发现了一个bug，导致他们在修复漏洞的同时关闭了rebate program。当时他们本能够在漏洞发生之前阻止，不过情况并非如此尽如人意。

截至目前，Fei Protocol团队还没有正式宣布他们的调查结果。[2022/4/30 2:42:28]

标签：NARARKARKSKSNAnarchistsPrimexmark币价格ARKS价格KSN币

OKB热门资讯