白帽黑客协助Foom Cash追回大部分在226万攻击中被盗资金,突出道德黑客在Web3事件响应中的日益重要作用。
据Foom Cash称,作为基于零知识证明的去中心化匿名彩票协议,遭受攻击,损失226万资金。
Foom Cash于周一宣布,在道德黑客介入后,协议成功追回184万遭盗资金,占被盗资金的81%。
协议在周一发布的X动态中表示,匿名白帽黑客Duha发现漏洞并在Base链上保护资金,防止恶意攻击者利用漏洞,同时Decurity则负责以太坊上的资金恢复工作。
Foom Cash向该白帽黑客颁发了32万美元奖励,而加密安全平台Decurity获得了10万美元安全服务费用。
白帽黑客Duha在回应此事件时写道:“通过兑现漏洞赏金政策,@foomclub_证明他们认真对待协议安全,并重视协助他们的研究人员。”
“致命部署失误”导致220万美元被盗
这起226万美元漏洞事件源于部署过程中的一项“致命”失误,具体为在第二阶段可信设定过程中遗漏了命令行界面(CLI)步骤。
Foom在周一X平台回应中称:“在Groth16中,如果在snarkjs中跳过针对具体电路的贡献设定,参数γ(gamma)和δ(delta)会保持默认值(即G2生成器)。”
这一部署失误使得攻击者可以诱使协议“接受伪造的证明,因为占位符从未被随机化”。
白帽黑客持续护航
白帽黑客的介入已成为 DeFi 事件响应中的常态,尤其当攻击者迅速将资金跨链转移或转入隐私工具时更为突出。
2023年8月,白帽黑客兼 Paradigm 研究员 Samczsun 组建了名为 SEAL(安全联盟)的道德黑客团队,据 Cointelegraph 报道,其成立首年便超过900起黑客事件调查。
该倡议发起前不久,一名黑客从印度加密货币交易所 WazirX 窃取了超过2.3亿美元,成为2024年以来全球第二大加密货币黑客事件。
2026年2月10日,以太坊基金会与 SEAL 合作,发起“万亿美元安全”行动,应对加密钱包盗刷现象。
