Podle „The Block“ zpráva od blockchainové bezpečnostní společnosti Veridise poukázala na to, že bezpečnostní audity projektů s nulovými znalostmi mají dvakrát vyšší pravděpodobnost, že odhalí kritické problémy, než jiné typy auditů.

Veridise analyzovala 1 605 zranitelností nalezených ve svých posledních 100 auditech a zjistila, že průměrný počet zranitelností nalezených na jeden audit byl asi 16, zatímco počet zranitelností nalezených v ad hoc auditech ZK byl o něco vyšší, v průměru 18.

Když se však společnost Veridise zaměřila na kritická zranitelná místa, zjistila, že 55 % auditů ZK (11 z 20) mělo kritické problémy, ve srovnání s podílem ostatních auditů (včetně inteligentních smluv, integrací peněženek, implementací blockchainu a reléových serverů) je 27,5 % ( 22 z 80 případů má kritické problémy).

Podle Veridise je zabezpečení ZK „náročnější“ a jeho audity naleznou kritičtější zranitelnosti kvůli složité kryptografické struktuře a inovacím v protokolu ZK, které často mohou prolomit hranice stávající kryptografické technologie.

„Vývoj obvodů ZK vyžaduje přesné uvažování o sémantice operací v generátoru svědků,“ řekl Jon Stephens, spoluzakladatel a generální ředitel společnosti Veridise, „Když tato sémantika není správně zakódována do omezení, může dojít k chybám vysvětluje, proč je v obvodu více chyb, protože se velmi liší od typických metod programování."

Nejběžnější zranitelnosti DeFi

Společnost Veridise uvedla, že celkově nejběžnějšími zranitelnostmi zjištěnými v auditech společnosti byly logické chyby (385), problémy s údržbou (355) a validace dat (304), které představovaly 65 % z celkového počtu problémů zjištěných v auditu. Tyto tři problémy také představovaly většinu zjištěných zranitelností specifických pro audit 360 ZK.

Tým uvedl, že i když problémy s údržbou nejsou přesně zranitelností zabezpečení a zahrnují problémy, jako jsou špatné programovací postupy, mohou se během několika sekund stát vážnými zranitelnostmi.

Mezi 223 nalezenými typy závažných (kritických nebo na vysoké úrovni) problémů byly nejčastější logické chyby (91) a ověřování dat (35), následované „obvodem s příliš malým počtem omezení“ (19), odmítnutím služby (16). ) a zranitelnosti řízení přístupu (13) atd. V rámci všech auditů bylo přibližně 78 % vysoce závažných problémů vysledováno k těmto pěti typům, což představuje 174 ze zjištěných zranitelností.

Podle vysvětlení společnosti Veradise dochází k logickým chybám, když programový kód neplní svou zamýšlenou funkci kvůli chybám v logickém toku Typickým příkladem je chytrá smlouva, která uživateli nesprávně umožňuje vybrat prostředky, které přesahují jeho zůstatek. Problémy s ověřováním dat zahrnují neschopnost řádně ověřit správnost, úplnost a autenticitu dat před jejich zpracováním. Problémy s odmítnutím služby zahrnují útoky navržené tak, aby narušily normální fungování protokolu, například inteligentní smlouva může být nesprávně navržena tak, aby umožnila útočníkovi spotřebovat veškerý dostupný plyn. A konečně, problémy s řízením přístupu jsou ty, kdy neoprávnění uživatelé mohou získat přístup k omezeným oblastem nebo funkcím.

Chyby zabezpečení specifické pro audit ZK

Podle Veridise představují kritické problémy asi 10 až 30 % většiny typů zranitelnosti, ale „omezené okruhy“ mají 90% šanci, že budou obsahovat kritické nebo vysoké problémy.

"Okruhy, které jsou nedostatečně omezeny, jsou typickým problémem endemickým pro audity související s nulovými znalostmi... [které vznikají], když omezení aritmetického okruhu nejsou dostatečná k tomu, aby adekvátně prosadila všechny nezbytné podmínky ke kontrole, že určité výpočty byly provedeny správně." "Nebudou se objevovat v tradičních smart kontraktech," vysvětlila společnost.

To znamená, že zlomyslná strana by mohla vytvořit důkaz, který přiměje ověřovatele, aby přijal nepravdivé prohlášení jako pravdivé, a tím vážně ohrozil integritu protokolu.

V auditech Veridise se technologie s nulovými znalostmi často používají v protokolech kritické infrastruktury, jako jsou ZK rollups vrstvy 2, ZK-VM a circom knihovny. Bezpečnost těchto protokolů je kritická, protože ovlivňuje všechny decentralizované aplikace (DApps), které jsou na nich postavené.

Veridise tvrdí, že od roku 2018 bylo hacknuto více než 10 miliard dolarů z různých platforem blockchain a DeFi a že je nezbytná větší viditelnost typů zranitelnosti, která pomůže nasměrovat projekt Web3 tak, aby se zaměřil na nejzávažnější zranitelnosti a proaktivně jim předcházel.

zdroj

Související články: "Důkaz nulových znalostí: řešení otázek ochrany soukromí, jak vysvětlit důkaz nulových znalostí?" „Pochopte kromě WEB3 prostředí aplikací a podnikatelské příležitosti důkazů s nulovými znalostmi v jednom článku“

Zdroj