[安全团队:发现Circom验证库漏洞CVE-2023-33252]金色财经报道,Beosin 发现Circom 验证库漏洞CVE-2023-33252,提醒zk项目方注意相关风险。Circom是基于Rust开发的零知识证明电路编译器,该团队同时开发了SnarkJS库用于实现证明系统,包括:可信设置、零知识证明的生成和验证等,支持Groth16、PLONK、FFLONK算法。
此前,Beosin 安全研究人员在?SnarkJS 0.6.11及之前的版本的库中发现了一个严重漏洞,当该库在验证证明时未对参数进行完整的合法性检查,使得攻击者可以伪造出多个证明通过校验,实现双花攻击。Beosin在提了这个漏洞以后,第一时间联系项目方并协助修复,目前该漏洞已修复完成。Beosin提醒所有使用了SnarkJS库的zk项目方可将SnarkJS更新到 0.7.0版本!以确保安全性。
同时针对此漏洞,Beosin安全团队提醒zk项目方,在进行proof验证时,应充分考虑算法设计在实际实现时,由于代码语言属性导致的安全风险。目前Beosin已将漏洞提交 CVE漏洞披露平台(Common Vulnerabilities and Exposures)并获取认可。
安全团队:Shih-Tzu Inu项目代币价格下跌超52%:金色财经消息,据CertiK监测,Shih-Tzu Inu项目在锁仓到期后出现币价暴跌,跌幅达52%以上,并以约129 BNB(近3.57万美元)的价格售出代币。
BSC地址:0x74d00122a5d038914EAe062af8174C888F3166Dc。[2022/10/18 17:30:14]
安全团队:NFT项目Maximalist Discord服务器遭攻击:7月19日消息,据CertiK监测,NFT项目Maximalist的Discord服务器遭到攻击,攻击者发布了钓鱼链接。请社区用户不要点击链接、铸造或批准任何交易。[2022/7/19 2:22:37]
安全团队:MAYC#8662在BAYC Discord遭遇的攻击中被盗:4月1日消息,在推特上表示,BAYC Discord遭遇攻击,Mutant Ape Yacht Club(变异猿,MAYC) #8662已被盗。此前消息,无聊猿BAYC的Discord遭遇黑客攻击,团队提醒用户不要点击链接;周杰伦遭遇钓鱼攻击,其持有的1枚BAYC、1枚MAYC和2枚Doodles NFT均被盗。[2022/4/1 14:31:04]
郑重声明: 安全团队:发现Circom验证库漏洞CVE-2023-33252版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。