Эксперты отметили повышенную уязвимость ZK-протоколов
Аудит DeFi-проектов на основе технологии доказательств с нулевым разглашением (ZK) в два раза чаще выявлял критические ошибки, чем в общих случаях. Об этом пишет The Block со ссылкой на отчет Veridise.
Специалисты компании проанализировали 1605 уязвимостей, выявленных в ходе 100 проверок. Они обнаружили в среднем 16 проблем на аудит, при этом показатель ZK-проектов оказался несколько выше и составил 18 ошибок.
Однако в разрезе критических уязвимостей у последних 55% (11 из 20) содержали подобные проблемы по сравнению с 27,5% (22 из 80) у остальных проверок.
По словам экспертов, безопасность ZK-решений «просто более сложна» из-за сложных криптографических конструкций и инновационного характера протоколов.
«Разработка схемы ZK требует точного обоснования семантики операций в генераторе свидетелей. Когда эти конструкции неправильно кодированы из-за ограничений, вы получаете ошибки. Логично, что в [этих] схемах их больше, поскольку они сильно отличается от типичной парадигмы программирования», — объяснил сооснователь и CEO Veridise Джон Стивенс.
В целом наиболее распространенными обнаруженными в ходе аудитов уязвимостями стали логические ошибки (385), удобство обслуживания (355) и проверка данных (304). На долю этих категорий пришлось 65% всех выявленных проблем.
В Veridise отметили, что недостаточное удобство обслуживания, строго говоря, не относится к уязвимостям безопасности. Но плохие практики написания кода «находятся в шаге от создания критических уязвимостей», подчеркнула команда.
Для ZK-протоколов специфической проблемой стали «недостаточно ограниченные контуры», что с вероятностью 90% приводило к серьезной ошибке.
«[...] когда ограничения арифметической схемы не обеспечивают в достаточной степени все необходимые условия для проверки того, что некоторые вычисления были выполнены правильно. Они не встречаются в традиционных смарт-контрактах», — отметили в фирме.
Это означает, что злоумышленник может создать доказательство, которое обманом заставит проверяющего принять ложное утверждение за истинное, что серьезно подорвет целостность протокола.
Напомним, о развитии ZK-протоколов в 2024 году ForkLog рассказал в эксклюзивном материале.