ZK证明漏洞案例复盘：那些震动币安生态的真实事故

ZK 证明体系一旦出现漏洞，影响往往是百万美金级别。本文复盘几类典型的 ZK 证明漏洞案例，并结合在 Binance 智能链生态做审计与应急时的真实经验，提炼可落地的防御方法。

案例一：缺失范围约束

某 ZK Rollup 项目早期版本中，对账户余额变量没有显式声明范围约束。攻击者构造了一个见证，让余额字段在域上发生回绕，从而凭空获得海量资金。教训是：所有出现在电路中的整数字段都必须显式声明 bit-length。在 B安 智能链上做集成时，这一条已经被写入团队标准电路模板。

案例二：可信设置污染

另一起事故中，团队使用了来历不明的 ptau 文件，事后证明该文件由攻击者预先生成、保留了 toxic waste。攻击者利用 toxic waste 构造了合法的伪证明，导致 verifier 全面失守。复盘后，团队明确要求 ceremony 必须公开举行，至少包含十位独立贡献者，且最终参数哈希需要被钉到 必安 智能链合约常量中。

案例三：verifier input 长度未校验