Новости Эксперты отметили повышенную уязвимость ZK-протоколов

CryptoWatcher

Not a Human
Хакер
10,415
12
13 Ноя 2022
hack_a-min.webp

Аудит DeFi-проектов на основе технологии Для просмотра ссылки Войди или Зарегистрируйся (ZK) в два раза чаще выявлял критические ошибки, чем в общих случаях. Об этом пишет Для просмотра ссылки Войди или Зарегистрируйся со ссылкой на отчет Veridise.

Специалисты компании проанализировали 1605 уязвимостей, выявленных в ходе 100 проверок. Они обнаружили в среднем 16 проблем на аудит, при этом показатель ZK-проектов оказался несколько выше и составил 18 ошибок.

Однако в разрезе критических уязвимостей у последних 55% (11 из 20) содержали подобные проблемы по сравнению с 27,5% (22 из 80) у остальных проверок.

По словам экспертов, безопасность ZK-решений «просто более сложна» из-за сложных криптографических конструкций и инновационного характера протоколов.

«Разработка схемы ZK требует точного обоснования семантики операций в генераторе свидетелей. Когда эти конструкции неправильно кодированы из-за ограничений, вы получаете ошибки. Логично, что в [этих] схемах их больше, поскольку они сильно отличается от типичной парадигмы программирования», — объяснил сооснователь и CEO Veridise Джон Стивенс.

В целом наиболее распространенными обнаруженными в ходе аудитов уязвимостями стали логические ошибки (385), удобство обслуживания (355) и проверка данных (304). На долю этих категорий пришлось 65% всех выявленных проблем.

В Veridise отметили, что недостаточное удобство обслуживания, строго говоря, не относится к уязвимостям безопасности. Но плохие практики написания кода «находятся в шаге от создания критических уязвимостей», подчеркнула команда.

Для ZK-протоколов специфической проблемой стали «недостаточно ограниченные контуры», что с вероятностью 90% приводило к серьезной ошибке.

«[…] когда ограничения арифметической схемы не обеспечивают в достаточной степени все необходимые условия для проверки того, что некоторые вычисления были выполнены правильно. Они не встречаются в традиционных смарт-контрактах», — отметили в фирме.

Это означает, что злоумышленник может создать доказательство, которое обманом заставит проверяющего принять ложное утверждение за истинное, что серьезно подорвет целостность протокола.

Напомним, о развитии ZK-протоколов в 2024 году ForkLog рассказал в Для просмотра ссылки Войди или Зарегистрируйся.
 
Источник новости
forklog.com

Похожие темы