複数のブロックチェーンセキュリティ企業が発した警告によると、認可されたミキサー Tornado Cashの進化形として位置付けられている Ethereumベースのプライバシープロトコルである Foom.Cash、攻撃者が暗号検証システムの欠陥を悪用した後、約 226 万ドル相当のトークンを失ったと報告されています。.
Ethereum とベースの両方のネットワーク上のtracを襲ったこの攻撃は、プラットフォームのネイティブ資産である FOOM トークン 24,283,773,519,600 個を流出させたが、セキュリティ研究者は、これは数日前に別のプロトコルで狙われたほぼdentの脆弱性を模倣した悪質な攻撃であると説明している。.
ベースネットワーク上の1件のトランザクションは、悪意のある攻撃者に直接起因する損失として約42万7000ドルに上りました。 Ethereum 上のトランザクションは合計約183万ドルに上り、ホワイトハットによる救済作戦の一環だったようです。.
この攻撃はどのようにして起こったのでしょうか?
Binance Labsが主導するWeb3セキュリティネットワークであるGoPlus Securityは、この攻撃を警告し、検証鍵の設定ミスにより攻撃者がzkSNARKの証明を偽造できたと報告しました。これにより、プロトコルが有効と認める暗号認証情報を作成し、denttracから大量のトークンをtrac。
ブロックチェーンセキュリティプラットフォームCertikはXに、「根本的な原因は、0xc043865fb4D542E2bc5ed5Ed9A2F0939965671A6のGroth16検証子のdelta2==gamma2設定にある可能性があります。これにより、攻撃者は他のすべての入力が同じであるにもかかわらず、異なる「nullifierHash」に必要な「pC」を計算し、ZOOMトークンを繰り返し収集することができます。」と投稿しました。
つまり、暗号化保護を元に戻すのはほぼ不可能だとマーケティングで強調されていたプロトコルが、誤った設定によって無効になってしまったのです。.
BlockSecのPhalcon監視システムは、両ネットワークで不審な取引をリアルタイムで検出し、今回のインシデントdentVeil Cashdentれたものと同じ根本原因を悪用したものだと指摘しました。
ただし、Veil Cash 侵害は規模がより限定的であり、損失は少数の ETH (伝えられるところによると 2.9 ETH) にとどまったことは言及する価値があります。.
Cashとは何ですか?
Foom. CashZcashの匿名性 EthereumのDeFiのアクセシビリティ、組み込みのランダム報酬メカニズムを組み合わせた「ZKProof搭載のプライベート宝くじプロトコル」として位置付けられています。
トルネードCashのアップグレードでありEthereum上のZcashの代替。トルネードCash2022年に米国財務省から制裁を受けましたが、同省は2025年3月に同プラットフォームに対する制裁を解除しました。
このプラットフォームによれば、Tornado Cashよりも多くの毎日の取引を処理し、800万ドル以上の流動性を誇り、流動性プロバイダーに年間50〜80%の収益を生み出しているという。.
DeFi におけるプライバシーへの関心は再び高まっており、 Zcash ここ数ヶ月で大幅な価格上昇を記録し、Foom.Cash Ethereumの既存インフラ内でネイティブにプライバシーを提供することで、このトレンドを活用しようとしました。.
このプラットフォームは、 Zcashなどの確立されたプロトコルにおけるプライバシー保証の重要な要素の 1 つである zkSNARKs と呼ばれる特定のバリアントを使用しました。.
Foom.Cash 資金を回収し、エクスプロイトを解決するために何を行っていますか?
これまでのところ、回復について言及されているのは、約183万ドルの2回目の取引に関するもののみで、セキュリティ企業は、この取引はホワイトハットの救出作戦の一環であったと報告している。.
しかし、Foom.Cash チームはハッキングについてまだ言及も認めていません。そのため、本稿執筆時点では、プロトコルの影響範囲や、将来の攻撃を軽減するためにプロトコルがどのような対策を講じているかに関する情報は得られていません。.
ホワイトハットリカバリは、チームが資金を回収し、根本的な問題を解決するために舞台裏で作業している可能性があることを示唆しています。.
