Foom Cash协议遭遇严重部署缺陷引发资金危机

Foom Cash推出的基于零知识证明的匿名彩票协议，在部署过程中因遗漏关键命令行步骤，造成参数未随机化，致使攻击者可生成伪造证明并窃取资产。此次事故涉及金额达226万美元，所幸由白帽黑客提前介入，避免了更大损失。

白帽行动促成资金高效追回

据Foom Cash于当地时间3日披露，其已成功追回约184万美元，占被盗资金的81%。其中，以太坊链上资金由安全公司Decurity完成回收，而Base链上的资金则由化名为“Duha”的白帽黑客在攻击发生前预先锁定。 Foom Cash向Duha支付32万美元作为漏洞赏金，向Decurity支付10万美元服务费用。杜哈表示，该协议对漏洞赏金政策的执行体现其对安全与研究者的尊重，有助于构建更健康的生态信任机制。

漏洞根源：可信设置环节的关键疏漏

本次事件的根本原因在于“第二阶段可信设置”中跳过了snarkjs的按电路贡献配置步骤。这导致生成证明所需的参数γ和δ保持默认值且相同，破坏了零知识证明体系的安全性基础。 由于占位符未被随机化，攻击者可复用同一组参数构造有效但非法的证明，从而绕过验证机制。此问题并非智能合约逻辑缺陷，而是部署流程中人为疏忽造成的系统性风险放大。

伦理黑客成为DeFi安全新防线

近年来，白帽黑客主动干预攻击事件的现象日益普遍。其核心优势在于能在攻击者完成跨链转移或使用隐私工具隐藏资金前，迅速识别漏洞并实施资金隔离。 典型案例为2023年成立的伦理黑客联盟SEAL，其成员在首年内参与超900起安全调查。此类协作机制正逐步成为Web3生态应对高风险攻击的重要补充力量。

行业迈向事前防御时代

自2024年印度交易所WazirX遭巨额盗取后，整个行业开始反思安全治理模式。今年2月10日，以太坊基金会宣布与SEAL合作启动“万亿美元安全”倡议，聚焦防范自动化钱包盗取工具。 Foom Cash事件再次印证：在协议复杂度持续上升的背景下，仅依赖事后响应已不足以保障资产安全。未来，健全的部署审计流程、全链条验证机制以及激励型安全生态将成为核心建设方向。