腾讯安全玄武实验室
·
我们的AI发现了一个零知识证明库的漏洞,Sam Altman的项目也用了这个库
💡
原文中文,约2100字,阅读约需5分钟。
📝
内容提要
腾讯玄武实验室发现gnark库中的高危漏洞CVE-2025-57801,影响ZK-Rollup技术的签名验证,允许攻击者伪造交易,可能导致资产损失。大多数开源项目未受影响,建议闭源项目开发团队检查并升级以规避风险。
🎯
关键要点
-
腾讯玄武实验室发现gnark库中的高危漏洞CVE-2025-57801,影响ZK-Rollup技术的签名验证。
-
该漏洞允许攻击者伪造交易,可能导致资产损失。
-
大多数开源项目未受影响,因为它们使用了gnark的非原生验证方式。
-
gnark库的漏洞存在于用于验证EdDSA/ECDSA签名的功能模块中。
-
攻击者可以利用该漏洞构造伪造交易并使其被判定为有效。
-
建议闭源项目的开发团队检查并升级以规避风险。
❓
延伸问答
CVE-2025-57801漏洞的影响是什么?
该漏洞影响ZK-Rollup技术的签名验证,允许攻击者伪造交易,可能导致资产损失。
gnark库的漏洞是如何被发现的?
腾讯玄武实验室的阿图因自动化漏洞挖掘引擎发现了gnark库中的高危漏洞CVE-2025-57801。
哪些项目受到CVE-2025-57801漏洞的影响?
大多数开源项目未受影响,因为它们使用了gnark的非原生验证方式,但闭源项目可能受到影响。
gnark库的漏洞具体存在于哪个功能模块?
漏洞存在于gnark库中用于验证EdDSA/ECDSA签名的功能模块。
开发团队应该如何应对gnark库的漏洞?
建议闭源项目的开发团队检查并升级以规避风险,特别是使用了gnark的Native Verification API的项目。
ZK-Rollup技术的优势是什么?
ZK-Rollup通过将计算和存储工作转移到链下,提升交易处理能力并降低成本。
➡️
