零知识证明 - zkSNARK的Nullifier攻击

本文介绍了zkSNARK的Nullifier攻击,源于俄罗斯开发者poma公开的攻击方法。攻击者通过修改input中的nullifier_hash,使得智能合约误认为同一笔钱被多次花费。修复方案包括在verify函数中限制input不超过椭圆曲线的阶。
摘要由CSDN通过智能技术生成

早上很多朋友@我,安比实验室公众号发表了一篇文章zkSNARK的“输入假名”的攻击。迅速看了看,很赞。这个攻击原理其实比较简单,但是,不深入理解zkSNARK以及使用场景的朋友确实很难发现和理解。本文讲讲我对这个攻击的分析和理解。

源于三天前

这种攻击方式一直潜伏着,没被发现。直到三天前:

图1

俄罗斯开发者poma,在项目semaphore提交了一个issue,公开了这个攻击方法。poma同时也在kovan测试网络验证了这种攻击方式。

先从semaphore项目的代码开始:

图2

话说,semaphore是个很有意思的项目,它提供了一套方法能让用户不暴露自己身份的情况下广播消息。暂时不深入介绍这个项目的内容,直接看函数。broadcastSignal函数提交了证明,某个用户发送某个消息(signal)。注意,只有具体的某个broadcaster(server)才会调用这个函数。

signal - 广播的消息内容

a/b/c以及input - 是zkSNARK的证明以及公开信息(statement信息)

函数实现(第82行),调用verifyProof函数验证证明以及statement信息是否是合理的证明。第83行,查看nullifier_hash是否被用

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值