Tin nóng ⇢

Beosin đã phát hiện lỗ hổng CVE-2023-33252 trong thư viện xác minh Circcom

Beosin đã phát hiện ra lỗ hổng CVE-2023-33252 trong thư viện xác minh Circcom. Circom là một trình biên dịch mạch bằng chứng zero-knowledge được phát triển dựa trên Rust. Nhóm cũng đã phát triển thư viện SnarkJS để triển khai hệ thống bằng chứng, bao gồm: cài đặt đáng tin cậy , bằng chứng không kiến ​​thức Việc tạo và xác minh, v.v., hỗ trợ các thuật toán Groth16, PLONK, FFLONK. 

Để đối phó với lỗ hổng này, nhóm bảo mật Beosin đã nhắc nhở bên dự án zk rằng khi thực hiện xác minh bằng chứng, họ nên xem xét đầy đủ các rủi ro bảo mật do các thuộc tính ngôn ngữ mã gây ra trong quá trình triển khai thiết kế thuật toán trên thực tế. Hiện tại, Beosin đã đệ trình lỗ hổng lên nền tảng tiết lộ lỗ hổng CVE (Các lỗ hổng và mức độ phơi nhiễm chung) và đã được phê duyệt. Trước đây, các nhà nghiên cứu bảo mật của Beosin đã tìm thấy một lỗ hổng nghiêm trọng trong SnarkJS0.6.11 và các phiên bản trước đó của thư viện. cuộc tấn công chi tiêu gấp đôi. 

Sau khi Beosin đề cập đến lỗ hổng này, họ đã ngay lập tức liên hệ với nhóm dự án và hỗ trợ khắc phục, hiện tại lỗ hổng đã được khắc phục. Beosin nhắc tất cả các dự án zk sử dụng thư viện SnarkJS cập nhật SnarkJS lên phiên bản 0.7.0 để đảm bảo tính bảo mật.

Hiện tại, Beosin đã đệ trình lỗ hổng lên nền tảng tiết lộ lỗ hổng CVE (Các lỗ hổng và mức độ phơi nhiễm chung) và đã được phê duyệt.

Có thể bạn quan tâm