安全公司：zkSNARK合約“輸入假名”漏洞致眾多混幣項目爆雷，需更新底層庫_TTR

7月29日據安比實驗室消息，大量零知識證明項目由于錯誤地使用了某個zkSNARKs合約庫，引入“輸入假名(InputAliasing)”漏洞，可導致偽造證明、雙花、重放等攻擊行為發生，且攻擊成本極低。眾多以太坊社區開源項目受影響，其中包括三大最常用的zkSNARKs零知開發庫snarkjs、ethsnarks、ZoKrates，以及近期大熱的三個混幣應用hopper、Heiswap、Miximus。備注：所有使用了該zkSNARKs密碼學合約庫的項目都應該立即開展自查，評估是否受影響。修復很簡單。僅需在驗證函數中添加對輸入參數大小的校驗，強制要求input值小于上面提到的q值。即嚴禁“輸入假名”，杜絕使用多個數表示同一個點。所幸的是，目前常見的zkSNARKs合約庫都火速進行了更新，從底層庫層面杜絕“輸入假名”。

安全公司：Ronin Network被盜資金中2800枚ETH被轉入Tornado Cash:4月8日消息，派盾在社交媒體上發出警報，Ronin Network 被盜資金中 2800 枚 ETH（約合 920 萬美元）已被轉入 Tornado Cash。截至目前，包括本次轉移在內，Ronin Network 被盜資金已發生五次批量轉移。[2022/4/8 14:12:58]

分析 | 安全公司：Upbit交易所大額EOS 和XLM轉入Bittrex交易所操作或是Bittrex協助規避風險:今日 12:06分，成都鏈安態勢感知系統Beosin-Eagle eye檢測到以太坊Upbit交易所熱錢包地址向未知地址通過一筆交易轉移超過34萬ETH。黑客轉移342000ETH之后，該地址當時僅剩下111.3ETH,幾近掏空。北京時間11月27日13時18分，Upbit波場地址TDU1uJ向TA9FnQrL開頭的地址分批次轉移TRON幣，共計轉移超過11.6億枚TRON幣，2100萬枚BTT。北京時間11月27日13時02分，8628959枚EOS從Upbit EOS錢包地址轉至Bittrex交易所；北京時間11月27日1點55分左右，超過1.52億枚XLM從Upbit交易所轉移至Bittrex交易所。通過我們的進一步分析認為：EOS，XLM，TRON代幣的轉移很有可能是交易所觸發風控機制而進行的避險操作，并且有資料顯示Upbit和bittrex為合作關系，因此，大額EOS 和XLM轉入Bittrex交易所的操作可能是Bittrex協助規避風險。[2019/11/27]

動態 | 安全公司：OkCoin韓國站某平臺接口未授權訪問 導致內部敏感信息泄露:DVP漏洞平臺安全研究員發現OkCoin韓國站某平臺存在未授權訪問，導致內部敏感信息和多個內部敏感接口泄露，攻擊者可通過這些接口重置內部系統用戶的密碼和谷歌Key并可監控管理員的每次的操作請求，可截獲每次請求的authkey從而偽造請求包。[2019/2/26]

Tags：BITBITTTTRBittrexbybit下載iossunbitternAttrac

NEAR