安全公司：zkSNARK合約“輸入假名”漏洞致眾多混幣項目爆雷，需更新底層庫_ARK

7月29日據安比實驗室消息，大量零知識證明項目由于錯誤地使用了某個zkSNARKs合約庫，引入“輸入假名(InputAliasing)”漏洞，可導致偽造證明、雙花、重放等攻擊行為發生，且攻擊成本極低。眾多以太坊社區開源項目受影響，其中包括三大最常用的zkSNARKs零知開發庫snarkjs、ethsnarks、ZoKrates，以及近期大熱的三個混幣應用hopper、Heiswap、Miximus。備注：所有使用了該zkSNARKs密碼學合約庫的項目都應該立即開展自查，評估是否受影響。修復很簡單。僅需在驗證函數中添加對輸入參數大小的校驗，強制要求input值小于上面提到的q值。即嚴禁“輸入假名”，杜絕使用多個數表示同一個點。所幸的是，目前常見的zkSNARKs合約庫都火速進行了更新，從底層庫層面杜絕“輸入假名”。

西班牙國際安全公司Prosegur設立子公司提供加密托管服務:西班牙國際安全服務公司Prosegur成立了專門的子公司，以提供加密托管服務。該公司表示，它已經“推出了全面的數字資產管理和托管解決方案”。新的子公司名為Prosegur Crypto，將為機構投資者提供加密托管和密鑰管理服務。（Cryptonews）[2020/11/19 21:23:25]

安全公司：AWS客戶需警惕門羅幣惡意挖礦軟件攻擊:以色列網絡安全公司Mitiga建議運行某些程序的亞馬遜網絡服務（Amazon Web Services）的所有客戶檢查自己是否受到了門羅幣挖礦軟件的惡意感染。在今天的一份報告中，Migita稱任何運行基于Community AMIs（Amazon Machine Images）的EC2實例的用戶都容易受到該加密挖礦軟件的攻擊。據悉，Migita是在檢查一家金融機構的軟件系統時發現了該惡意軟件。（Decrypt）[2020/8/22]

動態 | 安全公司發現新型門羅幣惡意挖礦軟件BlackSquid:據Zdnet消息，6月3日，安全公司Trend Micro發現新的惡意軟件BlackSquid，并稱其“十分危險”。該惡意軟件的目的是破壞網絡服務器、網絡驅動器和可移動存儲，以便在目標設備上安裝門羅幣挖礦腳本XMRig。[2019/6/4]

Tags：ARKNARARKSZKSARKN價格MADinArtMARKS幣zksync幣空投比例

火幣APP下載