Foom Cash协议遭安全漏洞冲击,巨额资金险被窃取

Foom Cash曾推出基于零知识证明的匿名彩票机制,但因部署阶段的关键遗漏,引发大规模漏洞利用。该事件涉及金额高达226万美元,所幸在一位名为“Duha”的白帽黑客主动干预下,大部分资产得以保全。

白帽行动促成资金高效回收

Foom Cash于当地时间3日宣布,已成功追回攻击事件中被盗资金的81%,约合184万美元。其中,以太坊网络部分由安全公司Decurity协助完成资金回收,而Base链上的资金则由杜哈(Duha)提前隔离保护。 协议方对杜哈的贡献表示感谢,并支付其32万美元作为漏洞赏金;同时向Decurity支付10万美元用于安全响应服务。杜哈强调:“尊重漏洞赏金政策是协议可信的基础,也体现了团队对研究人员价值的认可。”

漏洞根源:可信设置环节的部署疏漏

此次事故并非智能合约逻辑缺陷所致,而是源于“第二阶段可信设置”过程中跳过了snarkjs的按电路贡献配置步骤。该错误导致参数γ与δ维持默认值且一致,使系统无法有效验证证明的真实性。 由于占位符未被随机化,攻击者可生成伪造的零知识证明并绕过验证机制。这暴露了部署流程中对验证步骤的依赖性,一旦执行缺失,即使代码本身无误,仍可能引发严重后果。

伦理黑客成DeFi安全新防线

近年来,白帽黑客在应对Web3安全事件中展现出越来越高的战略价值。他们能在攻击者完成跨链转移或使用隐私工具隐藏资金前,迅速发现漏洞并实施资金隔离。 类似案例包括2023年成立的伦理黑客联盟SEAL,其成员在首年内参与超过900起安全调查。这一模式正逐步成为行业标准,尤其在高价值协议中发挥关键作用。

从被动响应转向主动防御

随着多起大型黑客事件频发,行业开始重视构建生态系统级的安全体系。自2024年印度交易所WazirX损失超2.3亿美元后,推动安全前置的呼声持续上升。 今年2月10日,以太坊基金会联合SEAL启动“万亿美元安全”倡议,聚焦防范自动盗取钱包资产的恶意工具。此次Foom Cash事件再次印证:在协议复杂度不断提升的背景下,必须强化部署流程、验证机制与安全激励结构的整体审查。 未来,漏洞赏金计划与伦理黑客网络将在保障区块链生态安全中扮演更核心角色。