MarsBit消息,Beosin在Circom验证库中发现漏洞CVE-2023-33252。Circom是一个基于Rust的零知识证明电路编译器。同时,团队开发了Snark库实现证明系统,包括可信设置、零知识证明的生成和验证,支持Groth16、PLONK和FFLONK算法。
此前,Beosin安全研究人员在Snark 0.6.11及更早版本的数据库中发现了一个严重的漏洞。当数据库在验证证书时未能完全检查参数的合法性时,攻击者可以伪造多个证书并通过验证,从而实现双花攻击。Beosin在提到这个漏洞后第一时间联系了项目方,并协助修复。目前,该漏洞已被修复。
Beosin提醒所有使用Snark库的zk项目,将Snark更新到0.7.0版本,确保安全。
同时,针对该漏洞,Beosin安全团队提醒zk项目方,在进行证明验证时,应充分考虑算法设计实际实现中代码语言属性带来的安全风险。目前,Beosin已将该漏洞提交给CVE漏洞与曝光,并获得认可。
本文由会员发布,不代表本站立场。如有侵权,请联系我们删除!
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信(j7hr0a@163.com),我们会及时处理和回复。
原文地址"安全团队:发现Circom验证库漏洞CVE-2023-33252,请zk项目方注意相关风险":http://www.guoyinggangguan.com/qkl/146395.html。
微信扫描二维码关注官方微信
▲长按图片识别二维码