“升级版 Tornado Cash”漏洞导致Cash 损失近 230 万美元

据多家区块链安全公司发布的警报显示，基于 Ethereum隐私协议Cash（自称是受认可的混币器 Tornado Cash的升级版）在遭到攻击者利用其加密验证系统漏洞后，损失了约 226 万美元的代币。.

此次攻击针对 Ethereum 和 Base 网络上的trac，导致 24,283,773,519,600 个 FOOM 代币（该平台的原生资产）被盗。安全研究人员称，这是一次模仿攻击，复制了几天前针对另一个协议的几乎dent漏洞。.

Base网络上的一笔交易造成了约42.7万美元的损失，这些损失直接归咎于恶意攻击者。 Ethereum 上总额约183万美元的交易似乎是白帽黑客发起的救援行动的一部分。. 

这个漏洞是如何被利用的？

Binance实验室主导的Web3安全网络 GoPlus Security发现了此次攻击，并报告称，错误的验证密钥配置使得攻击者能够伪造zkSNARK证明。这使得攻击者能够制造dent协议认可的有效trac大量代币trac。

区块链安全平台 Certik 在 X 上写道：“根本原因可能是 Groth16 验证器在 0xc043865fb4D542E2bc5ed5Ed9A2F0939965671A6 处的 delta2==gamma2 设置。这使得攻击者能够在所有其他输入都相同的情况下，计算不同 'nullifierHash' 所需的 'pC'，并反复收集 ZOOM 代币。”

简而言之，一个在市场推广中强调其加密保护几乎不可能被破解的协议，却因为配置错误而失效了。.

BlockSec 的 Phalcon 监控系统实时检测到两个网络上的可疑​​交易，并指出此次事件dent 是一次模仿攻击。该公司还指出，此次攻击利用了与几天前发生的 Veil Cash 数据泄露事件中相同dent原因 Cash 根本

值得一提的是，Veil Cash 泄露事件的规模较为有限，损失仅限于少量 ETH，据报道为 2.9 ETH。.

Cash是什么？

Foom.CashCash 将自身定位为“基于 ZKProof 的私人彩票协议”，它结合了 Zcash（作为独立隐私链运行）的匿名性、以太坊 DeFi 生态系统的可访问性 Ethereum内置 DeFi 奖励机制。 

它被誉为 Tornado Cash 的替代方案 Zcash 上 Ethereum。Tornado Cash 于2022年受到美国财政部的制裁，但该部门于2025年3月解除了对该平台的制裁。 

该平台称，其每日交易量比 Tornado Cash还多，拥有超过 800 万美元的流动性，并为流动性提供者带来 50% 至 80% 的年回报率。.

DeFi 领域的隐私问题重新引起了人们的关注， Zcash 和Cash 近几个月来价格大幅上涨，旨在利用这一趋势，在 Ethereum现有基础设施中原生提供隐私保护。.

该平台使用了一种名为 zkSNARKs 的特定变体，它是 Zcash等成熟协议中隐私保障的关键要素之一。.

Cash 正在采取哪些措施来追回资金并解决漏洞问题？

到目前为止，唯一提及的追回款项与第二笔约 183 万美元的交易有关，据安全公司报道，这笔交易是白帽黑客救援行动的一部分。.

然而，Cash 团队尚未提及或承认此次黑客攻击。因此，截至发稿时，尚无关于此次攻击对该协议的影响程度，也不清楚该协议正在采取哪些措施来缓解未来的攻击。. 

这种白帽手段的恢复表明，该团队可能正在幕后努力追回资金并解决根本问题。.