Foom Cash协议遭遇严重安全漏洞,资金追回率达81%

Foom Cash曾推出基于零知识证明的匿名彩票机制,但因部署过程中关键环节缺失,引发涉及226万美元的重大安全隐患。所幸,一名化名为“Duha”的白帽黑客率先发现漏洞,并在Base链上完成资金隔离;以太坊侧则由安全公司Decurity协助回收。最终,约184万美元被成功追回。

白帽干预成DeFi安全新范式

此次事件再次印证了伦理黑客在应对攻击中的核心价值。其优势在于能在攻击者完成跨链转移或使用隐私工具前迅速锁定资金,为后续追偿创造条件。该模式已逐步成为DeFi生态应对危机的标准路径之一。

漏洞根源:可信设置环节的流程疏漏

问题出在第二阶段可信设置中跳过了snarkjs的按电路贡献配置步骤,导致参数γ与δ保持默认且相同状态。这一设定使协议可接受伪造的零知识证明,从而被恶意利用。此非合约逻辑缺陷,而是部署验证流程中的技术遗漏放大所致。

行业趋势:构建事前防御体系迫在眉睫

近年来,多起大型攻击事件促使业界反思安全策略。自2024年印度交易所WazirX遭巨额损失后,强化生态级防御机制的呼声不断上升。以太坊基金会近期与伦理黑客联盟SEAL合作启动“万亿美元安全”倡议,聚焦防范自动化盗取工具。本次事件表明,仅依赖事后响应已不足以应对复杂威胁,需建立覆盖部署、验证与激励结构的全流程安全机制。