币态网
Foom Cash因Groth16验证器配置错误遭受攻击,损失226万美元,但一名白帽黑客成功追回184万美元资金。
白帽黑客的介入
白帽黑客协助Foom Cash追回了大部分被盗资金,突显了道德黑客在Web3安全事件响应中的重要性。
Foom Cash表示,作为基于零知识证明的去中心化匿名彩票协议,该协议遭受攻击,损失金额为226万美元。
在周一的公告中,Foom Cash称,在道德黑客的帮助下,成功追回了184万美元,占被盗总额的81%。
该协议在周一发布的动态中提到,匿名白帽黑客Duha发现了漏洞,并在Base链上保护了资金,防止恶意攻击者利用该漏洞,同时Decurity负责以太坊上的资金恢复。
Foom Cash向白帽黑客颁发了32万美元的奖励,而加密安全平台Decurity则获得了10万美元的安全服务费用。
白帽黑客Duha在对此事件的回应中表示:“通过兑现漏洞赏金政策,@foomclub_展示了他们对协议安全的重视,并重视协助研究人员的努力。”
漏洞事件的根源
此次226万美元的漏洞事件源于部署过程中的一项“致命”失误,具体是第二阶段可信设定过程中遗漏了命令行界面(CLI)步骤。
Foom在周一的回应中指出:“在Groth16中,如果在snarkjs中跳过针对特定电路的贡献设定,参数γ(gamma)和δ(delta)将保持默认值(即G2生成器)。”
这一失误使得攻击者能够诱使协议接受伪造的证明,因为占位符从未被随机化。
道德黑客的持续作用
白帽黑客的参与已成为DeFi事件响应的常态,特别是在攻击者迅速将资金跨链转移或使用隐私工具时更为明显。
2023年8月,白帽黑客兼Paradigm研究员Samczsun组建了名为SEAL(安全联盟)的道德黑客团队,报道称其成立首年便调查了超过900起黑客事件。
在该倡议发起前不久,一名黑客从印度加密货币交易所WazirX窃取了超过2.3亿美元,成为2024年以来全球第二大加密货币黑客事件。
2026年2月10日,以太坊基金会与SEAL合作,发起“万亿美元安全”行动,以应对加密钱包盗刷现象。
