NAR:安全公司：zkSNARK合約“輸入假名”漏洞致眾多混幣項目爆雷，需更新底層庫_Manarium

7月29日據安比實驗室消息，大量零知識證明項目由于錯誤地使用了某個zkSNARKs合約庫，引入“輸入假名(InputAliasing)”漏洞，可導致偽造證明、雙花、重放等攻擊行為發生，且攻擊成本極低。眾多以太坊社區開源項目受影響，其中包括三大最常用的zkSNARKs零知開發庫snarkjs、ethsnarks、ZoKrates，以及近期大熱的三個混幣應用hopper、Heiswap、Miximus。備注：所有使用了該zkSNARKs密碼學合約庫的項目都應該立即開展自查，評估是否受影響。修復很簡單。僅需在驗證函數中添加對輸入參數大小的校驗，強制要求input值小于上面提到的q值。即嚴禁“輸入假名”，杜絕使用多個數表示同一個點。所幸的是，目前常見的zkSNARKs合約庫都火速進行了更新，從底層庫層面杜絕“輸入假名”。

加密安全公司Fireblocks增加質押功能:加密安全公司Fireblocks與基礎設施提供商Staked和Blockdaemon合作，為其平臺增加了質押功能，并初步支持Ethereum 2.0 (Eth2)、Polkadot (DOT)和Tezos (XTZ) 。Fireblocks表示，其超過165個機構客戶現在將能夠獲得5％至15％的質押獎勵。（TheBlockCrypto）[2021/1/14 16:11:34]

動態 | 區塊鏈安全公司AnChain.ai已完成種子輪融資:硅谷人工智能區塊鏈安全公司AnChain.ai已完成來自豐元創投和華巖資本的數百萬美元種子輪融資。創始人兼CEO Victor Fang表示本輪融資將用于進一步完善核心產品，并持續追蹤和監測BAPT。[2018/10/16]

聲音 | 安全公司PeckShield：Fomo3D游戲存在“薅羊毛”安全漏洞:近日，備受關注的Fomo3D游戲團隊核心成員聲稱，發現了一個足以毀滅以太坊的“核武器”級別漏洞。以太坊基金會開發團隊負責人之一Péter Szilágyi在Twitter回復這只是一種符合規范的實現，并非Fomo3D開發者所聲稱的EVM缺陷；是Fomo3D對該特性的誤用導致合約的空投機制出現一個可被“薅羊毛”的安全漏洞。

PeckShield安全研究人員已經確認了該漏洞的存在。具體而言：Fomo3D游戲存在一個隨機性的空投機制，用戶有較小概率獲得官方的空投獎勵。攻擊者可通過一定的技術手段提高事件的發生概率，進而通過操作獲得空投。目前，影響范圍已經從Fomo3D擴散至多個具有相似源代碼的同類游戲，提醒廣大用戶和開發者警惕此種攻擊行為。[2018/7/24]

Tags：FOMNARARKFOMOFOMO價格Manariumark幣是騙局嗎fomo幣什么意思

UNI