[安全团队:发现Circom验证库漏洞CVE-2023-33252]金色财经报道,Beosin 发现Circom 验证库漏洞CVE-2023-33252,提醒zk项目方注意相关风险。Circom是基于Rust开发的零知识证明电路编译器,该团队同时开发了SnarkJS库用于实现证明系统,包括:可信设置、零知识证明的生成和验证等,支持Groth16、PLONK、FFLONK算法。
此前,Beosin 安全研究人员在?SnarkJS 0.6.11及之前的版本的库中发现了一个严重漏洞,当该库在验证证明时未对参数进行完整的合法性检查,使得攻击者可以伪造出多个证明通过校验,实现双花攻击。Beosin在提了这个漏洞以后,第一时间联系项目方并协助修复,目前该漏洞已修复完成。Beosin提醒所有使用了SnarkJS库的zk项目方可将SnarkJS更新到 0.7.0版本!以确保安全性。
同时针对此漏洞,Beosin安全团队提醒zk项目方,在进行proof验证时,应充分考虑算法设计在实际实现时,由于代码语言属性导致的安全风险。目前Beosin已将漏洞提交 CVE漏洞披露平台(Common Vulnerabilities and Exposures)并获取认可。
安全团队:四月攻击事件已共计造成超1亿美元损失:4月30日消息,据CertiK Alert数据显示,四月攻击事件已共计造成约1.036亿美元损失,其中闪电贷攻击造成的损失约1980万美元,Rug Pull造成的损失约930万美元。[2023/4/30 14:35:52]
安全团队:Euler Finance攻击者再次归还约3105万美元资金:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年4月4日,Euler Finance攻击者将12,000,000个DAI和10,580个ETH归还给了Euler项目方。
此前消息,Euler Finance攻击者表示会陆续归还资金。[2023/4/4 13:43:23]
安全团队:TransitSwap事件新增3个套利机器人及2个攻击模仿者,已知被盗损失总计超2800万美元:根据TransitSwap官方通告,BSC链新增4个获利地址,ETH链新增1个获利地址,新增被盗资金357万美元,共计获利地址8个,被盗损失总计扩大至2884万美元。慢雾MistTrack与TransitSwap团队协作分析后得出结论,新增5个获利地址中有3个是套利机器人,而另外2个则是攻击模仿者。此前,慢雾通过情报发现套利机器人地址0xcfb0...7ac7。慢雾MistTrack仍在持续跟进此次事件,对新增获利地址的资金转移与黑客画像进行分析。
截止到目前,在各方的共同努力下,攻击黑客已将超 8 成的被盗资产退还到 Transit Swap 项目方地址,建议套利机器人所属人和攻击模仿者同样通过 service@transit.finance 或链上地址与 Transit Swap 取得联系,共同将此次被盗事件的受害用户损失降低到最小。
攻击黑客获利地址(已归还资金占总被盗资金约 83.6%):
0x75F2...FFD46 获利金额:约 2410 万美元
0xfa71...90fb
套利机器人获利地址:
1: 0xcfb0...7ac7(BSC) 获利金额:1,166,882.07 BUSD
2: 0x0000...4922(BSC) 获利金额:246,757.31 USDT
3: 0xcc3d...ae7d(BSC) 获利金额:584,801.17 USDC
4. 0x6C6B...364e(ETH) 获利金额:5,974.52 UNI、1,667.36 MANA
攻击模仿者获利地址:
1: 0x87be...3c4c(BSC) 获利金额:356,690.71 USDT
2: 0x6e60...c5ea(BSC) 获利金额:2,348,967.9 USDT[2022/10/6 18:40:24]
郑重声明: 安全团队:发现Circom验证库漏洞CVE-2023-33252版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。