Christoph Hochrainer

Nome do Software Vulnerável e Versões Afetadas: Versões do risc0-zkvm de 2.0.0 a 2.0.2 Descrição: O problema deve-se a uma restrição ausente no circuito rv32im, permitindo que um prover malicioso ataque qualquer instrução RISC-V de 3 registros, incluindo remu e divu, ao confundir a máquina virtual RISC-V para tratar o valor do registrador `rs1` como sendo o mesmo do registrador `rs2`. Esta vulnerabilidade foi relatada via bug bounty. A correção para o circuito e a atualização para o risc0 foram implementadas. Os verificadores on-chain afetados já foram desativados. Recomendações: Para as versões 2.0.0, 2.0.1 e 2.0.2 do risc0-zkvm, atualize para a versão 2.1.0. Para aplicações de contratos inteligentes que não utilizam o RISC Zero Verifier Router oficial, atualize os contratos para enviar chamadas de verificação para a versão 2.1 do verificador. Nenhuma ação é necessária para aplicações de contratos inteligentes que utilizam o RISC Zero Verifier Router oficial, pois a versão 2.1 do zkVM está ativa em todos os routers oficiais e a versão 2.0 foi desativada.