月亮链 月亮链
Ctrl+D收藏月亮链
首页 > FTX > 正文

PRO:Beosin | 深度剖析零知识证明zk-SNARK漏洞:为什么零知识证明系统并非万无一失?_SONAR价格

作者:

时间:1900/1/1 0:00:00

随着数字资产和区块链技术的快速发展,数字隐私保护和安全性成为了越来越受关注的话题。在这个背景下,一种名为"零知识证明"的技术正在逐渐崭露头角。

零知识证明技术可以在不泄露任何信息的情况下证明某些事情的真实性,被广泛应用于保护隐私和安全性。其中,基于零知识证明技术的zk-SNARK近期备受瞩目,成为数字资产和区块链技术领域的热门话题,但有一些安全问题却往往被我们忽视。

Beosin将陆续推出zk零知识证明安全研究,第一篇,本文将深入探讨zk-SNARK的背景,深度剖析零知识证明zk-SNARK漏洞:输入假名漏洞是如何被挖掘出来的?

Beosin发现Move VM严重级别漏洞:金色财经报道,近日,区块链安全公司Beosin发现Move VM严重级别漏洞。Beosin安全研究团队在Move虚拟机中发现了一个没有限制递归调用深度而导致的栈溢出漏洞,这个漏洞可以导致整个网络崩溃(total network shutdown),还会让新的validator节点无法加入到网络中,甚至有可能导致硬分叉(hard fork)。Sui mainnet_v1.2.1、Aptos mainnet_v1.4.3以前的版本都受此漏洞影响。目前该漏洞已被官方修复。Suimainnet_v1.2.1、Aptosmainnet_v1.4.3、Move-language 2023年6月10日之后的版本修复了此漏洞。[2023/6/15 21:37:59]

最后使用刚伪造的attackHash:

区块链智能标签技术公司Beontag完成1.2亿欧元债务融资:1月17日消息,区块链智能标签技术公司 Beontag 宣布通过其全资子公司 Tag Lux Sarl. 完成 1.2 亿欧元债务融资,德意志银行领投。Beontag 推出的智能标签技术能让 Web2 和 Web3 领域里的品牌商为客户提供基于智能手机的售后服务和体验,其智能标签使消费者可以访问详细说明产品生命周期的链上数字证书,还可以让消费者以转售为目的转让所有权,其客户包括 Alexander McQueen、Dolce & Gabbana 和 Bulgari 等奢侈品牌。[2023/1/17 11:16:52]

21888242871839275222246405745257275088548364400416034343698204186575808495694,同样验证通过!即同一份proof,可以被多次验证通过,即可造成双花攻击。

动态 | 由BM父亲Stan Larimer发布的BEOS链已在太空处理了第一笔区块链交易:BEOS 是比特股和 EOS主网之间的中间链,它的存在能使两个生态系统之间的产品和服务实现自由流动。

2018 年 12 月,SovereignSky 完成了在 Elon Musk(现任特斯拉汽车企业的 CEO) 的 Space X Falcon-9 火箭上的第一颗卫星(总共 8 颗)的发射。SpaceQuest 已将 BEOS 混合 SovereignSky 区块链成功上传到 AprizeSat-5,并且已经完成了太空中的第一批区块链交易之一。区块链交易已于 12 月 13 日在 AprizeSat-5 卫星上被确认。[2020/1/13]

此外,由于本文使用ALT_BN128曲线进行复现,因此共计可以生成5个不同参数通过验证:

4.修复方案

Semaphore?项目已经针对该漏洞进行了修复,具体修复代码如下:

图源:https://github.com/semaphore-protocol/semaphore/blob/0cb0ef3514bc35890331379fd16c7be071ada4f6/packages/contracts/contracts/base/SemaphoreVerifier.sol#L42

图源:https://github.com/semaphore-protocol/semaphore/blob/0cb0ef3514bc35890331379fd16c7be071ada4f6/packages/contracts/contracts/base/Pairing.sol#L94

但是该漏洞属于实现上的通用漏洞,经过我们Beosin安全团队的研究发现,众多知名的零知识证明算法组件和DApp项目都受到该漏洞的影响,绝大部分后续进行了及时修复。以下列举出部分项目方的修复方案:

ethsnarks:

图源?https://github.com/HarryR/ethsnarks/commit/34a3bfb1b0869e1063cc5976728180409cf7ee96

snarkjs:

图源:https://github.com/iden3/snarkjs/commit/25dc1fc6e311f47ba5fa5378bfcc383f15ec74f4

heiswap-dapp:

图源:https://github.com/kendricktan/heiswap-dapp/commit/de022ffc9ffdfa4e6d9a7b51dc555728e25e9ca5#diff-a818b8dfd8f87dea043ed78d2e7c97ed0cda1ca9aed69f9267e520041a037bd5

EYBlockchain:

图源:https://github.com/EYBlockchain/nightfall/pull/96/files

此外,还有部分项目未能及时修复,Beosin安全团队已与项目方取得联系,正在积极协助修复。

针对此漏洞,Beosin安全团队提醒zk项目方,在进行proof验证时,应充分考虑算法设计在实际实现时,由于代码语言属性导致的安全风险。同时,强烈建议项目方在项目上线之前,寻求专业的安全审计公司进行充分的安全审计,确保项目安全。

标签:PROCOMARKNARTXA Projectdefi communitySTARKSONAR价格

FTX热门资讯
元宇宙:科技日报:2023年元宇宙领域四大趋势_《人工智能》电影解析

元宇宙可谓2022年科技界的“当红炸子鸡”,引多家科技巨头“竞折腰”。美国《福布斯》双周刊网站在近日的报道中指出,2030年全球元宇宙的市场规模有望高达5万亿美元,2023年可能是确定其发展方向.

1900/1/1 0:00:00
USD:Curve稳定币crvUSD主网正式上线 crvUSD相关信息速览_VUSD

Curve稳定币crvUSD正式上线加入稳定币大战。Curve?Finance?5月4日发推表示,crvUSD智能合约正式部署在以太坊主网上,但与crvUSD?智能合约交互前端的用户界面仍在开发.

1900/1/1 0:00:00
LAYER:金色观察 | Bankless:再质押协议EigenLayer测试网交互指南_ETH

作者:WilliamPeaster,Bankless作者;翻译:金色财经xiaozou以太坊质押的下一个重头戏是EigenLayer,这是一种新的“再质押”协议.

1900/1/1 0:00:00
DEFI:DeFi 巨头 Aave、Curve 推出稳定币 重塑去中心化 3Pool_DEF

Aave原生稳定币GHO、Curve原生稳定币crvUSD是加密社区最近热议的大事件,是时候对DeFi最著名的稳定币池之一进行重塑了.

1900/1/1 0:00:00
以太坊:坎昆升级将成为以太坊L2的转折点_UniLayer

在即将到来的坎昆升级中,以太坊将迎来重大改变,将使得以太坊Layer?2的速度提高?10?x,甚至有机会提高?100?倍且成本更低。本文将探讨坎昆升级的影响以及可能受益的L2项目.

1900/1/1 0:00:00
虚拟资产:6月起执行 香港引入虚拟资产服务提供者发牌制度_虚拟资产nft

香港特区政府《行政长官2022年施政报告》中,曾提出会不断提升金融科技竞争力,当中包括在虚拟资产方面草议引入有关服务提供者的法定发牌制度.

1900/1/1 0:00:00