安全公司：zkSNARK合約“輸入假名”漏洞致眾多混幣項目爆雷，需更新底層庫_EOS:ARK

7月29日據安比實驗室消息，大量零知識證明項目由于錯誤地使用了某個zkSNARKs合約庫，引入“輸入假名(InputAliasing)”漏洞，可導致偽造證明、雙花、重放等攻擊行為發生，且攻擊成本極低。眾多以太坊社區開源項目受影響，其中包括三大最常用的zkSNARKs零知開發庫snarkjs、ethsnarks、ZoKrates，以及近期大熱的三個混幣應用hopper、Heiswap、Miximus。備注：所有使用了該zkSNARKs密碼學合約庫的項目都應該立即開展自查，評估是否受影響。修復很簡單。僅需在驗證函數中添加對輸入參數大小的校驗，強制要求input值小于上面提到的q值。即嚴禁“輸入假名”，杜絕使用多個數表示同一個點。所幸的是，目前常見的zkSNARKs合約庫都火速進行了更新，從底層庫層面杜絕“輸入假名”。

加密安全公司CipherTrace計劃與各地央行展開合作:金色財經報道，美國加密安全分析公司CipherTrace希望將其業務擴展到世界各地的中央銀行。目前，CipherTrace正在啟動一項新計劃，旨在幫助中央銀行以安全、隱私和合規的方式發行自己的數字貨幣。據悉，CipherTrace獲得了美國國防高級研究計劃局（DARPA）的資助，已與世界各地的銀行和政府進行合作。[2020/5/13]

聲音 | PeckShield安全公司: EOS競猜游戲FFgame遭黑客攻擊 損失1,331個EOS:據PeckShield態勢感知平臺數據顯示：11月8日凌晨1點，EOS公鏈上又一款競猜類游戲FFgame遭遇了黑客攻擊，黑客賬戶jk2uslllkjfd向FFgame游戲合約 (eoswallet415）發起多達304次攻擊，共計獲利1,331.2922個EOS，隨后于1點36分將1,330個EOS轉移到火幣交易所。

PeckShield安全人員跟蹤發現，該黑客賬戶jk2uslllkjfd為PeckShield的重點監控黑名單賬戶，其創建于10月30日，曾于11月4日凌晨3點，攻擊過另一款EOS競猜類游戲EOSDice (eosbocai2222), 共獲利2,545.1135個EOS。這兩次攻擊都是通過寫合約代碼計算出游戲中獎規律實施攻擊，值得注意的是，該黑客習慣于凌晨實施攻擊，且每次攻擊完都會立刻修改攻擊合約，發送“hi”的垃圾數據用以掩飾攻擊信息。另外，攻擊所得EOS都是立刻轉移到火幣交易所。目前被攻擊 FFgame（eoswallet415）賬號余額里還有81.0105個EOS，并且攻擊后合約沒有更新，漏洞還未被修復。[2018/11/8]

動態 | 區塊鏈安全公司BitGo：計劃未來幾個月推出加密保險產品:據CoinDesk消息，在美國獲批的區塊鏈安全公司BitGo稱，公司的下一步計劃是在未來幾個月推出加密保險產品，保險將覆蓋如盜竊等風險。據悉，加密安全初創公司BitGo已在美國獲得批準，可以作為數字資產的合格托管人。[2018/9/28]

Tags：EOSNARARKARKSEOSevenLunariumbunnypark幣最新消息DarkShield Games Studio

Gate交易所