NAR:安全公司：zkSNARK合约“输入假名”漏洞致众多混币项目爆雷，需更新底层库_KSN

7月29日据安比实验室消息，大量零知识证明项目由于错误地使用了某个zkSNARKs合约库，引入“输入假名(InputAliasing)”漏洞，可导致伪造证明、双花、重放等攻击行为发生，且攻击成本极低。众多以太坊社区开源项目受影响，其中包括三大最常用的zkSNARKs零知开发库snarkjs、ethsnarks、ZoKrates，以及近期大热的三个混币应用hopper、Heiswap、Miximus。备注：所有使用了该zkSNARKs密码学合约库的项目都应该立即开展自查，评估是否受影响。修复很简单。仅需在验证函数中添加对输入参数大小的校验，强制要求input值小于上面提到的q值。即严禁“输入假名”，杜绝使用多个数表示同一个点。所幸的是，目前常见的zkSNARKs合约库都火速进行了更新，从底层库层面杜绝“输入假名”。

FilDA合约代码已通过安全公司慢雾科技的安全审计:据FilDA团队消息，目前FilDA 合约代码已通过三家安全公司审计，分别为慢雾科技、灵踪安全、创宇存证，并已出具4份安全审计报告，FilDA 未来将继续加强安全建设，为用户的资产安全保驾护航。

FilDA是基于HECO的跨链借贷DeFi项目。 FilDA于2021年1月5日晚20:00开启创世挖矿Fair launch，首发HUSD、HBTC等17种资产借贷功能，同时也是HECO首个公开平台各项APY数据，存借双向实时透明数据的借贷项目。FilDA 平台存借款总额高峰值突破12亿美元，FilDA LP 峰值超过3000万美金。FilDA项目无募资，无预挖，致力于HECO首选的用户友好型的DeFi借贷平台。[2021/3/2 18:08:11]

安全公司：警惕DeFi挖矿钓鱼授权盗币攻击:据慢雾区情报，由于DeFi挖矿项目的火热，除了仿盘以外，目前已经出现了针对以太坊DeFi挖矿的钓鱼攻击，攻击者通过新建一个挖矿项目，诱导用户授权给项目本身，其实是授权给了一个攻击者自己可控的地址，在授权完成后，用户资金会被立即转出。经慢雾安全团队分析，目前该网站诱导用户授权给地址0x59DFd93D34DFF5D36dEdD539425a7D7D2a77B3e5，该地址并为合约地址，而是一个攻击者控制的普通的个人地址。通过区块浏览器查询显示，已有20万枚USDC和52枚YAMV2被转移。慢雾安全团队提醒，用户在操作DeFi项目时，一定要对项目本身进行足够的了解，并需注意该项目是否通过安全审计，并在授权时，对授权对象进行核对，确认是项目方的地址，避免资金损失。[2020/9/6]

安全公司：2016年Bitfinex被黑地址多为社区网友推演分析:北京链安链上数据分析专家SXWK表示，近期媒体多次提及的Bitfinex被盗BTC转移，其相关地址源头大都为事件发生后，比特币社区网友根据时间线的推演，大都在reddit进行讨论。如今天最新的一笔转账，其来源主要为当时Bifinex的热钱包地址之一的3NMkeWidzL7MQbrdMR9m7guANcNJofxyJD，它于当地时间2016年8月2日将416枚BTC归集到地址1Bf5aQqsd7gtjLysYQKtqQ3yBLDHZogouA，由于Bifinex于当地时间2016年8月3日宣布被盗，所以从时间线上被分析者认为这是黑客的转账交易之一。类似地址当时推演出很多，但是相关交易哪些是黑客盗币行为，哪些又可能是交易所发现问题后的紧急转账处理尚不明晰，同时网友分析出的被盗交易涉及的BTC总额度距离Bifinex公开的119,756枚被盗BTC还有相当距离

今天的交易实际上是这416枚BTC被拆分为20笔UTXO，最大的为33BTC，最小的为15BTC，目前部分BTC也正在进行进一步小额的拆分转账。[2020/6/11]

标签：NARARKARKSKSNMINAR价格ArkWorldARKS币KSN币

pepe最新价格热门资讯