Beosin は、Circom 検証ライブラリの CVE-2023-33252 脆弱性を発見しました。Circom は、Rust に基づいて開発されたゼロ知識証明回路コンパイラです。チームはまた、信頼できる設定、ゼロ知識を含む証明システムを実装するための SnarkJS ライブラリも開発しましたプルーフの生成や検証などは、Groth16、PLONK、FFLONK アルゴリズムをサポートします。この脆弱性を受けて、Beosin セキュリティ チームは、証明検証を実行する際には、アルゴリズム設計の実際の実装におけるコード言語のプロパティによって引き起こされるセキュリティ リスクを十分に考慮する必要があることを zk プロジェクト関係者に思い出させました。現在、Beosin はこの脆弱性を CVE 脆弱性開示プラットフォーム (Common Vulnerabilities and Exposures) に提出し、承認を得ています。以前、Beosin のセキュリティ研究者は、SnarkJS 0.6.11 以前のバージョンのライブラリに重大な脆弱性を発見しましたが、ライブラリが証明を検証する際にパラメータの完全な合法性チェックを実行しなかった場合、攻撃者は複数の証明を偽造する可能性がありました。 、二重支出攻撃が実現します。 Beosin 氏がこの脆弱性について言及した後、すぐにプロジェクト チームに連絡して修正を支援し、現在、脆弱性は修正されています。 Beosin は、SnarkJS ライブラリを使用しているすべての zk プロジェクトに、セキュリティを確保するために SnarkJS をバージョン 0.7.0 に更新するよう通知します。
JinseFinance