Експерти відзначили підвищену вразливість ZK-протоколів — ForkLog UA

Аудит DeFi-проєктів на основі технології доказів із нульовим розголошенням (ZK) удвічі частіше виявляв критичні помилки, ніж у загальних випадках. Про це пише The Block з посиланням на звіт Veridise.

Фахівці компанії проаналізували 1605 вразливостей, виявлених під час 100 перевірок. Вони виявили в середньому 16 проблем на аудит, водночас показник ZK-проєктів виявився дещо вищим і становив 18 помилок.

Однак у розрізі критичних вразливостей в останніх 55% (11 з 20) містили подібні проблеми порівняно з 27,5% (22 з 80) у решти перевірок.

За словами експертів, безпека ZK-рішень «просто складніша» через складні криптографічні конструкції та інноваційний характер протоколів.

«Розробка схеми ZK вимагає точного обґрунтування семантики операцій у генераторі свідків. Коли ці конструкції неправильно кодовані через обмеження, ви отримуєте помилки. Логічно, що в [цих] схемах їх більше, оскільки вони сильно відрізняються від типової парадигми програмування», — пояснив співзасновник і CEO Veridise Джон Стівенс.

Загалом найпоширенішими виявленими під час аудитів вразливостями стали логічні помилки (385), зручність обслуговування (355) і перевірка даних (304). На частку цих категорій припало 65% усіх виявлених проблем.

У Veridise зазначили, що недостатня зручність обслуговування, строго кажучи, не належить до вразливостей безпеки. Але погані практики написання коду «перебувають за крок від створення критичних вразливостей», підкреслила команда.

Для ZK-протоколів специфічною проблемою стали «недостатньо обмежені контури», що з імовірністю 90% призводило до серйозної помилки.

«[…] коли обмеження арифметичної схеми не забезпечують достатньою мірою всіх необхідних умов для перевірки того, що деякі обчислення були виконані правильно. Вони не зустрічаються в традиційних смартконтрактах», — зазначили у фірмі.

Це означає, що зловмисник може створити доказ, який обманом змусить того, хто перевіряє, прийняти хибне твердження за істинне, що серйозно підірве цілісність протоколу.

Источник

No votes yet.
Please wait...

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.