我们的AI发现了一个零知识证明库的漏洞,Sam Altman的项目也用了这个库
💡
原文中文,约2100字,阅读约需5分钟。
📝
内容提要
腾讯玄武实验室发现gnark库中的高危漏洞CVE-2025-57801,影响ZK-Rollup技术的签名验证,允许攻击者伪造交易,可能导致资产损失。大多数开源项目未受影响,建议闭源项目开发团队检查并升级以规避风险。
🎯
关键要点
- 腾讯玄武实验室发现gnark库中的高危漏洞CVE-2025-57801,影响ZK-Rollup技术的签名验证。
- 该漏洞允许攻击者伪造交易,可能导致资产损失。
- 大多数开源项目未受影响,因为它们使用了gnark的非原生验证方式。
- gnark库的漏洞存在于用于验证EdDSA/ECDSA签名的功能模块中。
- 攻击者可以利用该漏洞构造伪造交易并使其被判定为有效。
- 建议闭源项目的开发团队检查并升级以规避风险。
➡️
