7月29日据安比实验室消息,大量零知识证明项目由于错误地使用了某个zkSNARKs合约库,引入“输入假名(InputAliasing)”漏洞,可导致伪造证明、双花、重放等攻击行为发生,且攻击成本极低。众多以太坊社区开源项目受影响,其中包括三大最常用的zkSNARKs零知开发库snarkjs、ethsnarks、ZoKrates,以及近期大热的三个混币应用hopper、Heiswap、Miximus。备注:所有使用了该zkSNARKs密码学合约库的项目都应该立即开展自查,评估是否受影响。修复很简单。仅需在验证函数中添加对输入参数大小的校验,强制要求input值小于上面提到的q值。即严禁“输入假名”,杜绝使用多个数表示同一个点。所幸的是,目前常见的zkSNARKs合约库都火速进行了更新,从底层库层面杜绝“输入假名”。
安全公司:BiSwap LP迁移池攻击事件已造成约71万美元的损失:7月1日消息,根据安全公司Fairyproof发布的BiSwap LP迁移池攻击事件简析,BISwap的迁移合约少了两个验证:1.未验证迁移者就是交易发起者,导致任意?都可以替别?进?迁移。2.未验证参数中的两种代币和Pair为真实的,导致攻击者可以伪造token0、token1及Pair的?式进?攻击。攻击者?先通过真实的pair和假的token0,token1,调?迁移合约的迁移函数,将?户的LP燃烧后的资产留在合约中,?户添加的只是两种假代币组成LP池。然后攻击者再通过真实的token0,token1及假的LP,调?迁移合约的迁移函数,将第?步留在合约中的资产添加为自己的LP。这样通过狸猫换太?的方式将?户的资产替换成假的LP资产,?真实的LP资产添加到了攻击的的LP中。Fairyproof还表示,此次攻击造成约710251美元的损失。
此前今日早些时候消息,BiSwap表示,已检测并解决Migrator合约漏洞,请勿与访问该合约,用户资金安全。[2023/7/2 22:12:51]
公告 | Taxa Network已通过区块链安全公司CertiK智能合约安全审计:Taxa团队宣布已通过区块链安全公司CertiK智能合约的安全审计,这将确保Taxa主网在今年春天顺利发布。CertiK的智能标签对TXT智能合约源代码进行了100%形式化验证覆盖,并辅以安全专家人工逐行审核。审计结果认为TXT智能合约结构坚固,不存在整数溢出、函数错误、缓冲区溢出等漏洞。[2020/2/13]
动态 | 区块链安全公司CipherTrace推出加密货币反解决方案:据eweek消息,区块链安全公司CipherTrace利用其数据分析技术和多数据源开发出加密货币反合规解决方案,旨在帮助金融服务机构检测并限制加密货币相关的活动。[2018/7/6]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。