ChainLight從19億美元的漏洞利用中拯救了zkSync時代

資訊


區塊鏈安全審計公司ChainLight發現了zkSync Era協議中的一個漏洞,如果被利用,可能導致19億美金的潛在損失。

該漏洞是在zkSync Era的ZK電路中發現的。這些電路旨在驗證交易數據的正確性,而不會暴露涉及的交易對手的敏感細節。

ChainLight的一篇部落客文章詳細說明,該漏洞可能允許惡意行為者在一個區塊內操縱交易,並仍將其驗證為準確。這將導致第一層智慧合約接受這些證據,而不知道它們包含的被操縱的交易值。

如果攻擊成功,惡意證明者可能會耗盡10萬以太(ETH),在披露時估計價值19億美元。

儘管如此,zkSync時代還是有很多安全層。這些將使任何人都很難實際執行攻擊,除非他們是zkSync時代背後的基礎設施團隊Matter Labs的一部分。

Matter Labs安全主管安東·阿斯塔菲耶夫告訴Blockworks,利用這個漏洞需要整個基礎設施擁有最高級別的安全特權。

攻擊者需要訪問協定的後端以直接注入惡意代碼,或者訪問用於簽名塊的驗證器私鑰。由於執行延遲,他們還必須忍受強制性的21小時等待期,才能提取任何資金。

Astafiev說:“更重要的是,發現的漏洞與我們的舊證明者有關,而不是與當前的愚蠢行為有關,這意味著代碼很快就會完全過時和退役。”

在意識到這個關鍵漏洞後,ChainLight在一篇X帖子中指出,Matter Labs團隊對報告做出了迅速反應,並解決了這個問題。

由於發現了這個漏洞,ChainLight團隊在USDC獲得了5萬英鎊的獎勵。

特別是這個漏洞並不是現有的漏洞獎勵計劃或公開競賽的正式組成部分。當我們收到超出範圍的發現時,我們總是根據現實世界的影響對它們進行評估,以確定它們的重要性和相應的獎勵,“阿斯塔菲耶夫說。

Astafiev指出,Matter Labs團隊期待著繼續與ChainLight和其他專注於安全的組織合作。

他說:“這些類型的發現健康地提醒人們,為什麼像Matter Labs為zkSync實施的那樣的多層防禦體系結構如此重要;沒有任何單一的保護層是完全安全的,這就是為什麼不會有單一的故障點。”

聯系郵箱:0xniumao@gmail.com






(0)
上一篇 2023年11月4日 pm4:39
下一篇 2023年11月4日 pm4:52

相关推荐