Compass Investments

㊤プライベート・プロトコルのFoom.Cashは、一部の攻撃者が検証機の設定を誤った結果、zkSNARK証拠を捏造したことにより、約226万ドルの損失を被りました。

この悪用はイーサリアムとBaseネットワーク上のスマートコントラクトに影響を与え、24兆2800億FOOMトークンをゼロにし、そのうち約42万7000ドルは不適切に入手されたもので、約183万ドルはホワイトハットハッカーの行動によるものでした。

サイバーセキュリティ組織は、問題の根源はGroth16認証システムの設定ミスであり、これにより複数の引き出しが可能であったことを発見した。

Foom.Cashはイーサリアム・ブロックチェーン上のプライバシーフォークで、サブ認可されたTornado Cash mixerの強化版と位置づけられており、複数のアナリスト機関が警告している暗号通貨検証システムの脆弱性により、約226万ドルのトークンを失ったと報告されている。

この攻撃はイーサリアムとBaseのコントラクトに影響を及ぼし、プラットフォームの主要資産であるFOOMトークン24,283,773,519,600個を失う結果となった。セキュリティ研究者は、この悪用は数日前に別のプロトコルで発見された脆弱性とほぼ同じであると指摘している。

Baseネットワーク上の1つのトランザクションが約42万7000ドルの損失をもたらし、これは直接のエクスプロイトに起因する。イーサリアムのトランザクションは約183万ドル相当で、ホワイトハットによる救出作戦の一環のようです。

侵害の経緯

BinanceLabsが監督するWeb3のセキュリティネットワークであるGoPlus Securityは、検証キーの設定に不正確さがあったため、詐欺師がzkSNARKの検証記録を偽造することができたと指摘しています。これにより、彼らはプロトコルが正当なものとして認めた暗号証明書を捏造することができ、その結果、危殆化した契約からかなりの量のトークンを引き出すことができた。

ブロックチェーンセキュリティ企業のCertikはXアカウントにこう書いている：

主な原因は、Groth16検証器のdelta2==gamma2設定（0xc043865fb4D542E2bc5ed5Ed9A2F0939965671A6）にあると思われます。これにより、エクスプロイターは他のすべての入力を変更しないまま、様々な「nullifierHash」 に必要な「pC」を計算することができ、「ZOOM」トークンの複数回のピックアップが可能になる。

ョン

「簡単に言えば、暗号バリアがほぼ難攻不落であることを積極的にアピールしていたプロトコルが、設定ミスによって危険にさらされたということだ。

両ネットワーク上の不審な動きをリアルタイムで監視していたBlockSecのPhalcon監視システムは、この事件は複製された攻撃のようだと報告した。同社は、最近のVeil Cashのハッキングで特定されたのと同じ根本原因に基づいていることを強調した。

なお、Veil Cashのインシデントは規模が小さく、損失は合計で少額のETH、おそらく2.9ETHであった。

Foom.Cashとは何ですか？

Foom.Cashは、Zcashの匿名性（これは別のプライベートブロックチェーンとして動作する）、イーサリアムのエコシステムのDeFi機能、および組み込みのランダム報酬メカニズムを組み合わせたZKProofベースのプライベート宝くじプロトコルであると位置づけています。

トルネード・キャッシュの強化であり、イーサリアム・ネットワークのZcashの代替と呼ばれている。トルネード・キャッシュは2022年に米国財務省によって制裁されたが、2025年3月に同省はプラットフォームに対する制限を解除した。

プロジェクトの代表者によると、トルネード・キャッシュよりも多くの取引を毎日処理し、800万ドル以上の流動性を持ち、流動性プロバイダーに50～80％の年間リターンを提供している。

Zcashはここ数カ月で著しい価値の上昇を見せており、Foom.Cashは既存のイーサリアムのインフラ内で匿名性を提供することで、このトレンドを利用しようとしている。

Foom.Cashは、Zcashのような認知されたプロトコルでプライバシーを提供する重要なコンポーネントであるzkSNARKsの特定の変更を活用しています。

Foom.Cashは資金を回収し、脆弱性を排除するためにどのような措置を講じていますか。