比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > XMR > Info

EOS:Beosin | 深度剖析零知識證明zk-SNARK漏洞:為什么零知識證明系統并非萬無一失?_Shark Coin

Author:

Time:1900/1/1 0:00:00

隨著數字資產和區塊鏈技術的快速發展,數字隱私保護和安全性成為了越來越受關注的話題。在這個背景下,一種名為"零知識證明"的技術正在逐漸嶄露頭角。

零知識證明技術可以在不泄露任何信息的情況下證明某些事情的真實性,被廣泛應用于保護隱私和安全性。其中,基于零知識證明技術的zk-SNARK近期備受矚目,成為數字資產和區塊鏈技術領域的熱門話題,但有一些安全問題卻往往被我們忽視。

Beosin將陸續推出zk零知識證明安全研究,第一篇,本文將深入探討zk-SNARK的背景,深度剖析零知識證明zk-SNARK漏洞:輸入假名漏洞是如何被挖掘出來的?

Beosin:Arbitrum上的Rodeo Finance疑似遭遇攻擊,損失150萬美元:金色財經報道,據Beosin旗下Beosin EagleEye監控顯示,Arbitrum上的杠桿收益協議Rodeo Finance疑似遭遇攻擊,目前統計被盜資金約150萬美元,Beosin提醒用戶注意資金安全。[2023/7/11 10:48:08]

最后使用剛偽造的attackHash:

21888242871839275222246405745257275088548364400416034343698204186575808495694,同樣驗證通過!即同一份proof,可以被多次驗證通過,即可造成雙花攻擊。

此外,由于本文使用ALT_BN128曲線進行復現,因此共計可以生成5個不同參數通過驗證:

Beosin:SheepFarm項目遭受攻擊事件簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,BNB鏈上的SheepFarm項目遭受漏洞攻擊,Beosin分析發現由于SheepFarm合約的register函數可以多次調用,導致攻擊者0x2131c67ed7b6aa01b7aa308c71991ef5baedd049多次利用register函數增大自身的gems,再利用upgradeVillage函數在消耗gems的同時累加yield屬性,最后調用sellVillage方法把yield轉換為money后再提款。本次攻擊導致項目損失了約262個BNB,約7.2萬美元。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶,將持續關注資金走向。[2022/11/16 13:10:39]

Beosin:10月區塊鏈生態安全事件損失總金額約9億8104萬美元:金色財經報道,據 Beosin EagleEye 安全預警與監控平臺監測顯示,2022 年 10 月,各類安全事件數量和涉及金額較 9 月大幅上升。10 月發生較典型安全事件超 25 起,其中攻擊類安全事件損失總金額約 9.8104 億美元,約為 9 月損失金額的 5.97 倍。10 月為 2022 年以來區塊鏈領域損失金額最高的一個月,有 60% 的攻擊事件來自合約漏洞利用。[2022/10/31 12:01:06]

4.修復方案

Semaphore?項目已經針對該漏洞進行了修復,具體修復代碼如下:

圖源:https://github.com/semaphore-protocol/semaphore/blob/0cb0ef3514bc35890331379fd16c7be071ada4f6/packages/contracts/contracts/base/SemaphoreVerifier.sol#L42

圖源:https://github.com/semaphore-protocol/semaphore/blob/0cb0ef3514bc35890331379fd16c7be071ada4f6/packages/contracts/contracts/base/Pairing.sol#L94

但是該漏洞屬于實現上的通用漏洞,經過我們Beosin安全團隊的研究發現,眾多知名的零知識證明算法組件和DApp項目都受到該漏洞的影響,絕大部分后續進行了及時修復。以下列舉出部分項目方的修復方案:

ethsnarks:

圖源?https://github.com/HarryR/ethsnarks/commit/34a3bfb1b0869e1063cc5976728180409cf7ee96

snarkjs:

圖源:https://github.com/iden3/snarkjs/commit/25dc1fc6e311f47ba5fa5378bfcc383f15ec74f4

heiswap-dapp:

圖源:https://github.com/kendricktan/heiswap-dapp/commit/de022ffc9ffdfa4e6d9a7b51dc555728e25e9ca5#diff-a818b8dfd8f87dea043ed78d2e7c97ed0cda1ca9aed69f9267e520041a037bd5

EYBlockchain:

圖源:https://github.com/EYBlockchain/nightfall/pull/96/files

此外,還有部分項目未能及時修復,Beosin安全團隊已與項目方取得聯系,正在積極協助修復。

針對此漏洞,Beosin安全團隊提醒zk項目方,在進行proof驗證時,應充分考慮算法設計在實際實現時,由于代碼語言屬性導致的安全風險。同時,強烈建議項目方在項目上線之前,尋求專業的安全審計公司進行充分的安全審計,確保項目安全。

Tags:EOSSINCOMARKEOS柚子幣官網VM Tycoons BusinessesSAFECOM價格Shark Coin

XMR
比特幣:美國銀行危機再起 助推比特幣強勢反彈_USDFreeLiquidity

隨著投資者擔憂美國銀行業危機進一步深化,比特幣引領加密市場強勢反彈。比推終端數據顯示,比特幣打破了連續五天的下跌趨勢,突破2.9萬美元,盤中一度觸及3萬美元,市值第二大加密貨幣以太坊上漲4.5%.

1900/1/1 0:00:00
AIG:20位從業者,8種態度,ACGN走入AIGC迷城_GPT

來源:靠譜二次元,作者:靠譜編輯部,作者:哈士柴 圖片來源:由無界AI工具生成ChatGPT4發布后,AI熱潮席卷全球一個多月,國內有大語言模型產品的公司超過了20家.

1900/1/1 0:00:00
NFT:明星項目周報 | Sui主網正式上線;Curve已在主網部署穩定幣crvUSD(5.1-5.7)_DAI

5月1日-5月7日當周,比較值得關注的動態如下:Sui?主網正式上線;CosmosHub?將在下次升級中實施流動性質押模塊;ConsenSyszkEVM?項目?Linea?推出忠誠度活動;Azt.

1900/1/1 0:00:00
ODA:明星項目周報 | Sui測試網峰值TPS達到297000;OpenSea估值降至30億美元(4.24-4.30)_SODA

4月24日-4月30日當周,比較值得關注的動態如下:Sui?性能更新:測試網最終確定時間約為?480?毫秒;TigerGlobal?將?OpenSea?估值下調至?30?億美元;Solana?推.

1900/1/1 0:00:00
CHA:OP Research:區塊鏈的AI變局_HAI

作者:CloudY,Jam編輯:Vincero,YL 審核:Natalia AI板塊相關標的,不論是A股、美股還是Crypto,都迎來了暴漲.

1900/1/1 0:00:00
LAYER:Rollup Layer2的模塊化演進之路_NCE

本文嘗試從演化角度討論RollupLayer?2的發展以及演進,主要解答以下幾個問題:Rollup是如何工作的Rollup的模塊化演進 模塊化帶來的可能性 模塊化應用的技術趨勢 總結 Rollu.

1900/1/1 0:00:00
ads