· 2025年2月21日,Bybit以太坊冷钱包因恶意合约升级致约14.6亿美元资金被盗。攻击者通过钓鱼攻击诱骗冷钱包签名者错误签署伪装成合法操作的恶意交易,将Safe多签钱包实现合约替换为含后门的恶意合约,进而转移资金。此次事件与此前Radiant Capital漏洞事件类似,均涉及设备入侵与盲签行为。行业需针对设备入侵、盲签漏洞采取强化设备安全、硬件钱包二次核验等缓解策略,全面提升安全防护水平。
· 主要讨论了零知识证明(ZKP)系统的形式化验证以及在此过程中发现的漏洞。首先,介绍了如何通过形式化验证每条zkWasm指令来确保整个电路的技术安全性和正确性。接着,从发现漏洞的视角,分析了在审计和验证过程中发现的具体漏洞,包括代码漏洞和设计漏洞,并指出了这些漏洞可能导致的安全威胁。 在解释ZK漏洞时,强调了零知识证明系统的核心特征以及ZK漏洞可能导致的风险,即黑客可能提交伪造的ZK证明以欺骗验证器。
