交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注
Foom Cash匿名彩票协议遭遇重大安全漏洞,226万美元险遭窃取
Foom Cash曾推出基于零知识证明的匿名彩票协议,然而,由于部署过程中的一个致命失误,导致了涉及226万美元的大规模漏洞利用事件。所幸,在一位白帽黑客的及时干预下,大部分资金得以追回,这使得“伦理黑客”在Web3安全事件应对中的重要性再次凸显。
Foom Cash于当地时间3日通过社交平台X宣布,已成功追回本次攻击中被盗资金的81%,即约184万美元。协议方解释说,化名为“Duha”的白帽黑客率先发现了该漏洞,并在Base链上预先保全了资金;而以太坊网络一侧的资金回收工作则由安全公司Decurity负责。
Foom Cash向Duha支付了32万美元作为漏洞赏金,并向Decurity支付了10万美元作为安全服务费用。Duha对此表示:“Foom Cash尊重漏洞赏金政策,这表明他们认真对待协议安全,并珍视那些提供帮助的研究人员。”
漏洞根源:部署流程中的关键遗漏
此次漏洞利用的起因,源于“第二阶段可信设置”过程中遗漏了命令行界面步骤的部署错误。Foom Cash解释说,在基于Groth16的证明生成过程中,若跳过snarkjs的按电路贡献设置,参数γ和δ会保持默认值且相同。
问题在于,这种状态为协议接受“伪造证明”打开了大门。Foom Cash阐明了原因:占位符未能被随机化,从而使得攻击者能够加以利用。这并非智能合约本身的设计缺陷,而更多是部署与验证流程中一次疏忽被放大导致的严重事故。
白帽先行干预渐成DeFi安全常态
白帽黑客的先发制人式干预,在近期的DeFi安全事件中正变得越来越常见。这种方式之所以有效,是因为伦理黑客能在攻击者迅速将被盗资金跨链转移或转入隐私工具之前,率先发现漏洞并将资金“隔离”。
业界常引用的典型案例是2023年8月由Paradigm研究员Samczsun成立的伦理黑客联盟SEAL。据报告,SEAL仅在成立的第一年就参与了超过900起与黑客攻击相关的调查。
行业反思:从事后恢复转向事前防御
这一趋势也与接连发生大型黑客攻击的市场环境相呼应。自2024年印度加密货币交易所WazirX损失超过2.3亿美元的事件后,建立生态系统层面的应对体系的呼声日益高涨。今年2月10日,以太坊基金会宣布与SEAL合作启动“万亿美元安全”倡议,旨在加强针对自动盗取钱包资产的恶意工具的措施。
此次Foom Cash事件再次证实,在Web3安全领域,“事前预防”与“事后恢复”同等重要。随着协议设计日益复杂,从部署流程、验证步骤到安全激励结构的整体检查变得至关重要。预计未来,漏洞赏金计划和伦理黑客网络将发挥越来越大的作用。
