ARK:安全公司：zkSNARK合約“輸入假名”漏洞致眾多混幣項目爆雷，需更新底層庫_ARKS

7月29日據安比實驗室消息，大量零知識證明項目由于錯誤地使用了某個zkSNARKs合約庫，引入“輸入假名(InputAliasing)”漏洞，可導致偽造證明、雙花、重放等攻擊行為發生，且攻擊成本極低。眾多以太坊社區開源項目受影響，其中包括三大最常用的zkSNARKs零知開發庫snarkjs、ethsnarks、ZoKrates，以及近期大熱的三個混幣應用hopper、Heiswap、Miximus。備注：所有使用了該zkSNARKs密碼學合約庫的項目都應該立即開展自查，評估是否受影響。修復很簡單。僅需在驗證函數中添加對輸入參數大小的校驗，強制要求input值小于上面提到的q值。即嚴禁“輸入假名”，杜絕使用多個數表示同一個點。所幸的是，目前常見的zkSNARKs合約庫都火速進行了更新，從底層庫層面杜絕“輸入假名”。

BASE代幣合約已經安全公司Halborn充分驗證:Base Protocol發推稱已正式驗證BASE代幣合約。同時，該合約也得到了區塊鏈安全公司Halborn的充分驗證。就代理合約而言，這是一項防范首次rebase問題的策略，我們并非首創。[2020/12/6 14:12:06]

安全公司：警惕EOS賬號買賣中通過多簽提案回收EOS賬號風險:在EOS賬號買賣市場中，已知的回收賬號的方式是通過在賬號賣出前使用該賬號發起一筆修改賬號權限延時交易，待賬號成交后延時交易觸發，賬號權限被改，達到回收賬號的目的。

據慢霧區伙伴“紅石”的情報，目前存在一種新型的回收賬號攻擊。攻擊者可事先利用賣出賬號發起一筆更改權限的多簽提案，并使用賣出賬號和攻擊者控制的另一個賬號同意此提案，由于通過提案與執行提案兩個動作可分開執行，此時先不執行提案，等賬號賣出后，使用任意賬號執行此提案，更改賣出賬號權限，即可達到回收賬號的目的。[2020/4/9]

動態 | 數據安全公司宣布正式進入Ripple XRP Ledger生態系統唯一節點列表:據消息報道，數據安全和隱私公司Data443昨日宣布，它們已正式添加到Ripple（XRP） Ledger生態系統的唯一節點列表（UNL）中。UNL是10個組織的列表，這些組織被給予驗證節點以獲得有關XRP Ledger中的可靠信息。[2018/9/7]

Tags：NARARKARKSBASECanary DollarPolymarketStarSharks SEAcoinbase交易所官網

SHIB