Эксперты отметили повышенную уязвимость ZK-протоколов

hack_a-min
hack_a-min

Аудит DeFi-проектов на основе технологии доказательств с нулевым разглашением (ZK) в два раза чаще выявлял критические ошибки, чем в общих случаях. Об этом пишет The Block со ссылкой на отчет Veridise.

Специалисты компании проанализировали 1605 уязвимостей, выявленных в ходе 100 проверок. Они обнаружили в среднем 16 проблем на аудит, при этом показатель ZK-проектов оказался несколько выше и составил 18 ошибок.

Однако в разрезе критических уязвимостей у последних 55% (11 из 20) содержали подобные проблемы по сравнению с 27,5% (22 из 80) у остальных проверок.

По словам экспертов, безопасность ZK-решений «просто более сложна» из-за трудных криптографических конструкций и инновационного характера протоколов.

«Разработка схемы ZK требует точного обоснования семантики операций в генераторе свидетелей. Когда эти конструкции неправильно кодированы из-за ограничений, вы получаете ошибки. Логично, что в [этих] схемах их больше, поскольку они сильно отличается от типичной парадигмы программирования», — объяснил сооснователь и CEO Veridise Джон Стивенс.

В целом наиболее распространенными обнаруженными в ходе аудитов уязвимостями стали логические ошибки (385), удобство обслуживания (355) и проверка данных (304). На долю этих категорий пришлось 65% всех выявленных проблем.

В Veridise отметили, что недостаточное удобство обслуживания, строго говоря, не относится к уязвимостям безопасности. Но плохие практики написания кода «находятся в шаге от создания критических уязвимостей», подчеркнула команда.

Для ZK-протоколов специфической проблемой стали «недостаточно ограниченные контуры», что с вероятностью 90% приводило к серьезной ошибке.

«[…] когда ограничения арифметической схемы не обеспечивают в достаточной степени все необходимые условия для проверки того, что некоторые вычисления были выполнены правильно. Они не встречаются в традиционных смарт-контрактах», — отметили в фирме.

Это означает, что злоумышленник может создать доказательство, которое обманом заставит проверяющего принять ложное утверждение за истинное, что серьезно подорвет целостность протокола.

Напомним, о развитии ZK-протоколов в 2024 году ForkLog рассказал в эксклюзивном материале.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK