Foresight News повідомляє, що команда досліджень Brave опублікувала звіт, у якому зазначено, що система авторизації транзакцій у блокчейні zkLogin має три основні вразливості. Звіт показує, що ці вразливості не є проблемами реалізації, а є внутрішніми недоліками поточної архітектури zkLogin та цілісної системи.
Три типи вразливостей, зазначені у звіті, включають: неявну залежність zkLogin від зовнішніх JSON-документів, які можуть мати семантичну неоднозначність; перетворення короткострокових документів автентифікації власників у постійні авторизаційні сертифікати; а також ризики конфіденційності та управління, що виникають через повторне централізоване довір’я у zkLogin. Всі ці вразливості не пов’язані з зломом криптографії або нульовими знаннями, а виникають через семантичну неоднозначність, відсутність гарантій зв’язування та перенесення довіри в архітектурі.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Хакери використовують вразливість у плагіні Obsidian, щоб поширити троян PHANTOMPULSE через блокчейн C2
Лабораторії Elastic Security Labs виявили, що зловмисники видавали себе за венчурні інвестиційні компанії на LinkedIn і Telegram, щоб розгорнути Windows RAT під назвою PHANTOMPULSE, використовуючи сховища нотаток Obsidian для атак, які Elastic Defend успішно заблокував.
GateNews38хв. тому
Zerion Hot Wallet втрачає $100K у атакі соціальної інженерії, керованій ШІ, з боку хакерів, пов’язаних із Північною Кореєю
Zerion підтвердила недавню спробу соціальної інженерії, керовану ШІ, здійснену хакерами з Північної Кореї, що призвела до втрати $100,000 із корпоративних гарячих гаманців. Кошти користувачів залишаються в безпеці, і компанія вжила запобіжних заходів. Це сталося після ще однієї масштабної атаки на Drift Protocol.
GateNews53хв. тому
CoW Swap Паузає протокол після викрадення DNS, яке виводить щонайменше $1M з коштів користувачів
CoW Swap призупинив роботу свого протоколу після викрадення DNS, яке перенаправило користувачів на шахрайський сайт, що призвело до крадіжок криптовалюти понад $1 млн. Інцидент став причиною запобіжних дій і попереджень для користувачів, тоді як були впроваджені заходи безпеки.
GateNews3год тому
Lattice оголошує про припинення роботи: Redstone закриється 16 травня, користувачі мають обмежений термін для зняття коштів
Інфраструктурний розробник ігор типу «play-to-earn» Lattice оголосив, що 15 травня припинить роботу, та попередив користувачів щодо необхідності вивести кошти. Після зупинки кошти за контрактами неможливо буде вивести через L1-контракти; лише кошти з особистих гаманців можна буде повернути. Lattice протягом п’яти років не змогла реалізувати комерційну модель, тож у підсумку вирішила закритися, але його фреймворк MUD і гра DUST продовжать працювати.
MarketWhisper4год тому
Користувач втрачає $316K USDC після підписання зловмисної транзакції Malicious Permit2, GoPlus попереджає
Користувач втратив $316,000 у USDC через зловмисну транзакцію Permit2, що підкреслює вразливості механізмів схвалення токенів. GoPlus Security закликає користувачів уникати фішингу, дотримуючись ключових практик безпеки, та встановити її захисне розширення.
GateNews5год тому
Cow Protocol зазнав DNS-хаюдження, користувачам потрібно негайно відкликати повноваження
DEX-агрегаторська платформа Cow Swap, яку створено протоколом Cow Protocol, 14 квітня зіткнулася з DNS-караденням (hijacking). Зловмисники підмінили записи доменних імен, перенаправивши трафік користувачів на фальшивий сайт, а також розгорнули програму для очищення гаманців. Cow DAO одразу призупинив сервіс і порадив користувачам відкликати авторизації. Ця подія не вплинула на смартконтракти протоколу, однак користувачам слід бути обережними щодо пов’язаних ризиків і перевірити історію транзакцій.
MarketWhisper6год тому
