ChainLight 从 $1.9B 漏洞中拯救了 zkSync Era

　　科学技术

　　ChainLight 从 $1.9B 漏洞中拯救了 zkSync Era

　　比特币以太币新闻

　　区块链安全审计公司 ChainLight 发现了 zkSync Era 协议中的一个漏洞，如果被利用，可能会导致 1.9 亿美元的潜在损失。

　　该错误是在 zkSync Era 的 zk 电路中发现的。 这些电路旨在验证交易数据的正确性，而不会暴露有关交易对手的敏感细节。

　　ChainLight 的一篇博客文章详细介绍了该错误可能允许恶意行为者操纵区块内的交易，并且仍然验证它们的准确性。 这将导致第一层智能合约接受这些证明，而不知道它们包含的被操纵的交易值。

　　如果攻击成功，恶意证明者可能会耗尽 100,000 以太币 (ETH)，在披露时价值估计为 1.9 亿美元。

　　尽管如此，zkSync Era 仍然设置了许多安全层。 这些将使任何人都很难实际执行该漏洞，除非他们是 zkSync Era 背后的基础设施团队 Matter Labs 的一部分。

　　Matter Labs 安全主管 Anton Astafiev 告诉 Blockworks，利用该漏洞需要其基础设施具有最高级别的安全权限。

　　攻击者需要访问协议的后端才能直接注入恶意代码，或者访问用于签名块的验证器私钥。 由于执行延迟，他们还必须忍受 21 小时的强制等待期才能提取任何资金。

　　“更重要的是，发现的错误与我们的旧证明器有关，而不是当前的 Boojum，这意味着代码很快就会完全过时并退役，”Astafiev 说。

　　在意识到这个严重错误后，ChainLight 在 X 中指出 发表 Matter Labs 团队很快对该报告做出了反应，并解决了该问题。

　　ChainLight 团队因发现该漏洞而获得 50,000 USDC 奖励。

　　“这个错误并不是现有错误赏金计划或公开竞赛的正式一部分。 当我们收到超出范围的发现时，我们总是根据现实世界的影响对其进行评估，以确定其重要性和相应的奖励，”阿斯塔菲耶夫说。

　　Astafiev 指出，Matter Labs 团队期待与 ChainLight 和其他专注于安全的组织继续合作。

　　“这些类型的发现很好地提醒我们，为什么像 Matter Labs 为 zkSync 实施的多层防御架构如此至关重要； 没有任何一层保护是绝对安全的，这就是为什么不存在单点故障的原因，”他说。