YAM:安全公司：zkSNARK合約“輸入假名”漏洞致眾多混幣項目爆雷，需更新底層庫

7月29日據安比實驗室消息，大量零知識證明項目由于錯誤地使用了某個zkSNARKs合約庫，引入“輸入假名(InputAliasing)”漏洞，可導致偽造證明、雙花、重放等攻擊行為發生，且攻擊成本極低。眾多以太坊社區開源項目受影響，其中包括三大最常用的zkSNARKs零知開發庫snarkjs、ethsnarks、ZoKrates，以及近期大熱的三個混幣應用hopper、Heiswap、Miximus。備注：所有使用了該zkSNARKs密碼學合約庫的項目都應該立即開展自查，評估是否受影響。修復很簡單。僅需在驗證函數中添加對輸入參數大小的校驗，強制要求input值小于上面提到的q值。即嚴禁“輸入假名”，杜絕使用多個數表示同一個點。所幸的是，目前常見的zkSNARKs合約庫都火速進行了更新，從底層庫層面杜絕“輸入假名”。

安全公司：NFT項目@OxyaOrigin服務器遭到攻擊:金色財經報道，據CertiK監測，NFT項目@OxyaOrigin服務器遭到攻擊。請社區用戶不要點擊鏈接，鑄造或批準任何交易。[2022/10/28 11:52:28]

安全公司CertiK提醒已確認NoaSwap由詐騙集團運營:官方消息，安全公司CertiK表示，已確認NoaSwap由負責SheepSwap的同一詐騙集團運行。CertiK提醒用戶保持警惕。[2021/4/11 20:07:42]

YAMv3協議已通過安全公司PeckShield審計服務:區塊鏈安全公司PeckShield（派盾）宣布正式完成了對YAMv3的安全審計服務。根據PeckShield提供的公開審計報告顯示：本次審計共發現問題15個，其中高危1個，中危4個，低危6個，優化建議4個，已發現漏洞均已和YamFinance團隊溝通修復完成。YAMv3將于9月18日正式上線遷移，YAMv2將和YAMv3進行1:1映射，新一輪的流動性挖礦也將隨即開啟。[2020/9/15]

Tags：YAMNARARKAMVBabyAMASONARDarkMagickAMV價格

MEXC