发布时间:2026-07-12 已有: 位 网友关注
币界网消息,GoPlusSecurity报告称,某借贷协议因预言机验证漏洞被攻击,导致损失超过900万美元。该协议的价格读取完整性依赖于BLS签名验证。在此次事件中,消息中的BLS签名字段值为[0,0],即零签名。BLS签名验证器基于输入构建了BLS配对检查,并将其传递给Hedera的配对预编译。由于提交的签名点和引用的委员会公钥均解析为零,配对方程trivially成立,预编译返回1。简单来说,一个无效的BLS签名通过了预言机验证器的验证,随后被接受并写入链上,最终被Bonzo Lend消耗。攻击者随后将被盗资产桥接至其他地址,攻击者地址为0xaf20d792a19fd42dcf697ceba6100291d96dd93e。