Beosin đã phát hiện ra lỗ hổng CVE-2023-33252 trong thư viện xác minh Circcom. Circom là một trình biên dịch mạch bằng chứng không có kiến thức được phát triển dựa trên Rust. Nhóm cũng đã phát triển thư viện SnarkJS để triển khai hệ thống bằng chứng, bao gồm: cài đặt đáng tin cậy, không có kiến thức tạo bằng chứng và Xác minh, v.v., hỗ trợ các thuật toán Groth16, PLONK, FFLONK. Để đối phó với lỗ hổng này, nhóm bảo mật Beosin đã nhắc nhở bên dự án zk rằng khi thực hiện xác minh bằng chứng, cần xem xét đầy đủ các rủi ro bảo mật do các thuộc tính ngôn ngữ mã gây ra trong quá trình triển khai thiết kế thuật toán trên thực tế. Hiện tại, Beosin đã đệ trình lỗ hổng lên nền tảng tiết lộ lỗ hổng CVE (Các lỗ hổng và mức độ phơi nhiễm chung) và đã được phê duyệt. Trước đây, các nhà nghiên cứu bảo mật của Beosin đã phát hiện ra một lỗ hổng nghiêm trọng trong SnarkJS 0.6.11 và các phiên bản trước đó của thư viện. Khi thư viện không thực hiện kiểm tra tính hợp pháp hoàn chỉnh đối với các tham số khi xác minh bằng chứng, kẻ tấn công có thể giả mạo nhiều bằng chứng. Thông qua quá trình xác minh , cuộc tấn công chi tiêu gấp đôi được thực hiện. Sau khi Beosin đề cập đến lỗ hổng này, anh đã ngay lập tức liên hệ với nhóm dự án và hỗ trợ khắc phục, hiện tại lỗ hổng đã được khắc phục. Beosin nhắc tất cả các dự án zk sử dụng thư viện SnarkJS cập nhật SnarkJS lên phiên bản 0.7.0 để đảm bảo tính bảo mật.
JinseFinance