安全团队：发现Circom验证库漏洞CVE-2023-33252，请zk项目方注意相关风险

MarsBit消息，Beosin发现Circom验证库漏洞CVE-2023-33252。Circom是基于Rust开发的零知识证明电路编译器，该团队同时开发了SnarkJS库用于实现证明系统，包括：可信设置、零知识证明的生成和验证等，支持Groth16、PLONK、FFLONK算法。

此前，Beosin安全研究人员在SnarkJS 0.6.11及之前的版本的库中发现了一个严重漏洞，当该库在验证证明时未对参数进行完整的合法性检查，使得攻击者可以伪造出多个证明通过校验，实现双花攻击。Beosin在提了这个漏洞以后，第一时间联系项目方并协助修复，目前该漏洞已修复完成。

Beosin提醒所有使用了SnarkJS库的zk项目方可将SnarkJS更新到0.7.0版本以确保安全性。

同时针对此漏洞，Beosin安全团队提醒zk项目方，在进行proof验证时，应充分考虑算法设计在实际实现时，由于代码语言属性导致的安全风险。目前Beosin已将漏洞提交 CVE漏洞披露平台（Common Vulnerabilities and Exposures）并获取认可。