7月29日据安比实验室消息,大量零知识证明项目由于错误地使用了某个zkSNARKs合约库,引入“输入假名(InputAliasing)”漏洞,可导致伪造证明、双花、重放等攻击行为发生,且攻击成本极低。众多以太坊社区开源项目受影响,其中包括三大最常用的zkSNARKs零知开发库snarkjs、ethsnarks、ZoKrates,以及近期大热的三个混币应用hopper、Heiswap、Miximus。备注:所有使用了该zkSNARKs密码学合约库的项目都应该立即开展自查,评估是否受影响。修复很简单。仅需在验证函数中添加对输入参数大小的校验,强制要求input值小于上面提到的q值。即严禁“输入假名”,杜绝使用多个数表示同一个点。所幸的是,目前常见的zkSNARKs合约库都火速进行了更新,从底层库层面杜绝“输入假名”。
安全公司:警惕DeFi挖矿钓鱼授权盗币攻击:据慢雾区情报,由于DeFi挖矿项目的火热,除了仿盘以外,目前已经出现了针对以太坊DeFi挖矿的钓鱼攻击,攻击者通过新建一个挖矿项目,诱导用户授权给项目本身,其实是授权给了一个攻击者自己可控的地址,在授权完成后,用户资金会被立即转出。经慢雾安全团队分析,目前该网站诱导用户授权给地址0x59DFd93D34DFF5D36dEdD539425a7D7D2a77B3e5,该地址并为合约地址,而是一个攻击者控制的普通的个人地址。通过区块浏览器查询显示,已有20万枚USDC和52枚YAMV2被转移。慢雾安全团队提醒,用户在操作DeFi项目时,一定要对项目本身进行足够的了解,并需注意该项目是否通过安全审计,并在授权时,对授权对象进行核对,确认是项目方的地址,避免资金损失。[2020/9/6]
动态 | 区块链安全公司BitGo:计划未来几个月推出加密保险产品:据CoinDesk消息,在美国获批的区块链安全公司BitGo称,公司的下一步计划是在未来几个月推出加密保险产品,保险将覆盖如盗窃等风险。据悉,加密安全初创公司BitGo已在美国获得批准,可以作为数字资产的合格托管人。[2018/9/28]
区块链安全公司BitGo与数字货币公司合作推出现金贷款平台:区块链安全公司BitGo为数字货币公司Nexo提供服务,该公司筹措5000万美元,为用户提供即时贷款所需的流动资金,无需等待信用审查所带来的时间延迟。[2018/5/1]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。