Безопасность

Эксперты отметили повышенную уязвимость ZK-протоколов

Аудит DeFi-проектов на основе технологии доказательств с нулевым разглашением (ZK) в два раза чаще выявлял критические ошибки, чем в общих случаях. Об этом пишет The Block со ссылкой на отчет Veridise.

Специалисты компании проанализировали 1605 уязвимостей, выявленных в ходе 100 проверок. Они обнаружили в среднем 16 проблем на аудит, при этом показатель ZK-проектов оказался несколько выше и составил 18 ошибок.

Однако в разрезе критических уязвимостей у последних 55% (11 из 20) содержали подобные проблемы по сравнению с 27,5% (22 из 80) у остальных проверок.

По словам экспертов, безопасность ZK-решений «просто более сложна» из-за сложных криптографических конструкций и инновационного характера протоколов.

«Разработка схемы ZK требует точного обоснования семантики операций в генераторе свидетелей. Когда эти конструкции неправильно кодированы из-за ограничений, вы получаете ошибки. Логично, что в [этих] схемах их больше, поскольку они сильно отличается от типичной парадигмы программирования», — объяснил сооснователь и CEO Veridise Джон Стивенс.

В целом наиболее распространенными обнаруженными в ходе аудитов уязвимостями стали логические ошибки (385), удобство обслуживания (355) и проверка данных (304). На долю этих категорий пришлось 65% всех выявленных проблем.

В Veridise отметили, что недостаточное удобство обслуживания, строго говоря, не относится к уязвимостям безопасности. Но плохие практики написания кода «находятся в шаге от создания критических уязвимостей», подчеркнула команда.

Для ZK-протоколов специфической проблемой стали «недостаточно ограниченные контуры», что с вероятностью 90% приводило к серьезной ошибке.

«[…] когда ограничения арифметической схемы не обеспечивают в достаточной степени все необходимые условия для проверки того, что некоторые вычисления были выполнены правильно. Они не встречаются в традиционных смарт-контрактах», — отметили в фирме.

Это означает, что злоумышленник может создать доказательство, которое обманом заставит проверяющего принять ложное утверждение за истинное, что серьезно подорвет целостность протокола.

Напомним, о развитии ZK-протоколов в 2024 году ForkLog рассказал в эксклюзивном материале.

Источник

Click to rate this post!
[Total: 0 Average: 0]
Show More

Leave a Reply

Your email address will not be published. Required fields are marked *