Beosin menemukan kerentanan CVE-2023-33252 di pustaka verifikasi Circom. Circom adalah kompiler rangkaian tanpa pengetahuan yang dikembangkan berdasarkan Rust. Tim juga mengembangkan pustaka SnarkJS untuk mengimplementasikan sistem pembuktian, termasuk: setelan tepercaya, tanpa pengetahuan pembuatan bukti dan Verifikasi, dll., mendukung algoritma Groth16, PLONK, FFLONK. Menanggapi kerentanan ini, tim keamanan Beosin mengingatkan pihak proyek zk bahwa saat melakukan verifikasi bukti, pertimbangan penuh harus diberikan pada risiko keamanan yang disebabkan oleh properti bahasa kode dalam implementasi sebenarnya dari desain algoritme. Saat ini, Beosin telah mengirimkan kerentanan ke platform pengungkapan kerentanan CVE (Kerentanan Umum dan Eksposur) dan memperoleh persetujuan. Sebelumnya, peneliti keamanan Beosin menemukan kerentanan serius di SnarkJS 0.6.11 dan versi perpustakaan sebelumnya. Ketika perpustakaan tidak melakukan pemeriksaan legalitas lengkap pada parameter saat memverifikasi bukti, penyerang dapat memalsukan banyak bukti. Melalui verifikasi , serangan pembelanjaan ganda terwujud. Setelah Beosin menyebutkan kerentanan ini, dia segera menghubungi tim proyek dan membantu memperbaikinya.Saat ini, kerentanan tersebut telah diperbaiki. Beosin mengingatkan semua proyek zk menggunakan perpustakaan SnarkJS untuk memperbarui SnarkJS ke versi 0.7.0 untuk memastikan keamanan.
JinseFinance