安全团队:发现Circom验证库漏洞CVE-2023-33252,请zk项目方注意相关风险

2023/05/25 17:56

Odaily星球日报讯 Beosin发现Circom验证库漏洞CVE-2023-33252。Circom是基于Rust开发的零知识证明电路编译器,该团队同时开发了SnarkJS库用于实现证明系统,包括:可信设置、零知识证明的生成和验证等,支持Groth16、PLONK、FFLONK算法。

此前,Beosin安全研究人员在SnarkJS 0.6.11及之前的版本的库中发现了一个严重漏洞,当该库在验证证明时未对参数进行完整的合法性检查,使得攻击者可以伪造出多个证明通过校验,实现双花攻击。Beosin在提了这个漏洞以后,第一时间联系项目方并协助修复,目前该漏洞已修复完成。

Beosin提醒所有使用了SnarkJS库的zk项目方可将SnarkJS更新到0.7.0版本以确保安全性。

同时针对此漏洞,Beosin安全团队提醒zk项目方,在进行proof验证时,应充分考虑算法设计在实际实现时,由于代码语言属性导致的安全风险。目前Beosin已将漏洞提交 CVE漏洞披露平台(Common Vulnerabilities and Exposures)并获取认可。

原文链接
最新快讯
12:41
特朗普:美国与伊朗遭受的袭击毫无关系
11:49
ZachXBT:Hyperliquid生态需尽快补齐合规与分析工具,避免重大事件发生
11:24
Sahara AI已筹超2378万美元,超募约2.8倍
11:19
Gate将上线CRT Project (CRT) 现货交易及HODLer Airdrop
10:43
某鲸鱼从CEX提取价值448万美元的ENA代币
推荐阅读