您現(xiàn)在的位置是：眾鏈財(cái)經(jīng) > 幣快訊 >

精選安全團(tuán)隊(duì)：發(fā)現(xiàn)Circom驗(yàn)證庫(kù)漏洞CVE-2023-33252

2023-05-25 18:00

簡(jiǎn)介據(jù)報(bào)道，Beosin 發(fā)現(xiàn)Circom 驗(yàn)證庫(kù)漏洞CVE-2023-33252，提醒zk項(xiàng)目方注意相關(guān)風(fēng)險(xiǎn)。Circom是基于Rust開發(fā)的零知識(shí)證明電路編譯器，該團(tuán)隊(duì)同時(shí)開發(fā)了SnarkJS庫(kù)用于實(shí)現(xiàn)證明系統(tǒng)，包括：可信設(shè)置、零知識(shí)證明的生成和驗(yàn)證等，支持Groth16、PLONK、FFLONK算法。此前，Beosin 安全研究人員在?SnarkJS 0.6.11及之前的版本的庫(kù)中發(fā)現(xiàn)了一個(gè)嚴(yán)重漏洞，當(dāng)該庫(kù)在驗(yàn)證證明時(shí)未對(duì)參數(shù)進(jìn)行完整的合法性檢查，使得攻擊者可以偽造出多個(gè)證明通過校驗(yàn)，實(shí)現(xiàn)雙花攻擊。Beosin在提了這個(gè)漏洞以后，第一時(shí)間聯(lián)系項(xiàng)目方并協(xié)助修復(fù)，目前該漏洞已修復(fù)完成。Beosin提醒所有使用了SnarkJS庫(kù)的zk項(xiàng)目方可將SnarkJS更新到 0.7.0版本！以確保安全性。同時(shí)針對(duì)此漏洞，Beosin安全團(tuán)隊(duì)提醒zk項(xiàng)目方，在進(jìn)行proof驗(yàn)證時(shí)，應(yīng)充分考慮算法設(shè)計(jì)在實(shí)際實(shí)現(xiàn)時(shí)，由于代碼語(yǔ)言屬性導(dǎo)致的安全風(fēng)險(xiǎn)。目前Beosin已將漏洞提交 CVE漏洞披露平臺(tái)（Common Vulnerabilities and Exposures）并獲取認(rèn)

據(jù)報(bào)道，Beosin 發(fā)現(xiàn)Circom 驗(yàn)證庫(kù)漏洞CVE-2023-33252，提醒zk項(xiàng)目方注意相關(guān)風(fēng)險(xiǎn)。Circom是基于Rust開發(fā)的零知識(shí)證明電路編譯器，該團(tuán)隊(duì)同時(shí)開發(fā)了SnarkJS庫(kù)用于實(shí)現(xiàn)證明系統(tǒng)，包括：可信設(shè)置、零知識(shí)證明的生成和驗(yàn)證等，支持Groth16、PLONK、FFLONK算法。此前，Beosin 安全研究人員在?SnarkJS 0.6.11及之前的版本的庫(kù)中發(fā)現(xiàn)了一個(gè)嚴(yán)重漏洞，當(dāng)該庫(kù)在驗(yàn)證證明時(shí)未對(duì)參數(shù)進(jìn)行完整的合法性檢查，使得攻擊者可以偽造出多個(gè)證明通過校驗(yàn)，實(shí)現(xiàn)雙花攻擊。Beosin在提了這個(gè)漏洞以后，第一時(shí)間聯(lián)系項(xiàng)目方并協(xié)助修復(fù)，目前該漏洞已修復(fù)完成。Beosin提醒所有使用了SnarkJS庫(kù)的zk項(xiàng)目方可將SnarkJS更新到 0.7.0版本！以確保安全性。同時(shí)針對(duì)此漏洞，Beosin安全團(tuán)隊(duì)提醒zk項(xiàng)目方，在進(jìn)行proof驗(yàn)證時(shí)，應(yīng)充分考慮算法設(shè)計(jì)在實(shí)際實(shí)現(xiàn)時(shí)，由于代碼語(yǔ)言屬性導(dǎo)致的安全風(fēng)險(xiǎn)。目前Beosin已將漏洞提交 CVE漏洞披露平臺(tái)（Common Vulnerabilities and Exposures）并獲取認(rèn)可。

您現(xiàn)在的位置是：眾鏈財(cái)經(jīng) > 幣快訊 >

精選安全團(tuán)隊(duì)：發(fā)現(xiàn)Circom驗(yàn)證庫(kù)漏洞CVE-2023-33252

相關(guān)文章

站長(zhǎng)推薦

標(biāo)簽云