Informado por The Block: Veridise informó que las auditorías de seguridad de los proyectos ZK tienen el doble de probabilidades de descubrir problemas críticos que otros tipos de auditorías. Alrededor del 55% de las auditorías ZK de la empresa contenían un problema crítico, en comparación con el 27,5% de otras auditorías de DeFi.

La firma de seguridad blockchain Veridise informó que las auditorías de proyectos de conocimiento cero tienen el doble de probabilidades de descubrir problemas críticos que otros tipos de auditoría.

Al analizar 1.605 hallazgos de vulnerabilidad de sus últimas 100 auditorías, Veridise encontró alrededor de 16 problemas, en promedio, por auditoría, con promedios de auditoría de ZK ligeramente más altos con 18 problemas descubiertos, según un informe compartido con The Block.

Sin embargo, al centrarse en las vulnerabilidades críticas, Veridise descubrió que el 55% (11 de 20) de las auditorías de ZK contenían un problema crítico en comparación con el 27,5% (22 de 80) de sus otras auditorías, incluidos contratos inteligentes, integraciones de billeteras, implementaciones de blockchain y retransmisores.

Los protocolos ZK han ido ganando terreno en el espacio criptográfico debido a su potencial para mejorar la privacidad y la escalabilidad en las transacciones blockchain. Permiten a una parte demostrarle a otra que una declaración es verdadera sin revelar ninguna información más allá de la validez de la declaración misma.

Sin embargo, la seguridad de ZK es "simplemente más desafiante", según Veridise, con auditorías que descubren vulnerabilidades más críticas debido a las complejas construcciones criptográficas y la naturaleza innovadora de los protocolos ZK, que a menudo traspasan los límites de las técnicas criptográficas existentes.

"El desarrollo de un circuito ZK requiere un razonamiento preciso sobre la semántica de las operaciones en el generador de testigos", dijo a The Block el director ejecutivo y cofundador de Veridise, Jon Stephens. “Cuando esa semántica no está codificada correctamente en restricciones, surgen errores. Tiene sentido que haya más errores en los circuitos, ya que esto es muy diferente del paradigma de programación típico”.

Vulnerabilidades más comunes de DeFi En general, las vulnerabilidades más comunes descubiertas por las auditorías de Veridise son errores lógicos (385), mantenibilidad (355) y validación de datos (304), dijo la firma, lo que representa el 65% de todos los problemas encontrados en sus auditorías. Estos tres problemas también dominaron entre las vulnerabilidades específicas de auditoría de 360 ​​ZK descubiertas.

Si bien los problemas de mantenimiento no son estrictamente vulnerabilidades de seguridad, incluidas, por ejemplo, malas prácticas de codificación, a veces están "a un épsilon de convertirse en errores críticos", dijo el equipo.

De los 223 tipos de problemas graves (críticos o de alto nivel) descubiertos, predominaron los errores lógicos (91) y los problemas de validación de datos (35), seguidos por el “circuito poco restringido” (19), la denegación de servicio (16) y el control de acceso (13). vulnerabilidades, entre otras. Alrededor del 78% de los problemas de alta gravedad en todas las auditorías se deben únicamente a estos cinco tipos, lo que representa 174 vulnerabilidades descubiertas.

Vulnerabilidades específicas de auditoría de ZK Si bien los problemas graves representan alrededor del 10 % al 30 % de la mayoría de los tipos de vulnerabilidad, los “circuitos poco restringidos” tenían un 90 % de probabilidad de contener problemas críticos o de alto nivel, según Veridise.

"Los circuitos insuficientemente restringidos son problemas típicos específicamente en auditorías relacionadas con el conocimiento cero... cuando las restricciones de un circuito aritmético no imponen suficientemente todas las condiciones necesarias para verificar que algunos cálculos se realizaron correctamente", explicó la firma. "No ocurren en los contratos inteligentes tradicionales".

Esto significa que una parte malintencionada podría crear una prueba que engañe al verificador haciéndole aceptar una declaración falsa como verdadera, socavando gravemente la integridad del protocolo.

En las auditorías de Veridise, la tecnología de conocimiento cero se utiliza con frecuencia en protocolos de infraestructura cruciales como paquetes acumulativos de ZK L2, ZK-VM y bibliotecas circom, donde Veridise identificó previamente un error ZK “millonario”. La seguridad de estos protocolos es fundamental porque afecta a todas las aplicaciones descentralizadas creadas en ellos.

Al dividir los otros tipos de problemas, los errores lógicos ocurren cuando el código no realiza la funcionalidad prevista debido a un error en el flujo lógico, explicó Veradise, siendo un ejemplo típico un contrato inteligente que permite por error a los usuarios retirar fondos que exceden su saldo.

Los problemas de validación de datos se relacionan con la falta de verificación adecuada de la exactitud, integridad y autenticidad de los datos antes de procesarlos.

Los problemas de denegación de servicio implican ataques que tienen como objetivo interrumpir el funcionamiento normal de un protocolo. Por ejemplo, los contratos inteligentes podrían diseñarse erróneamente para permitir que un atacante consuma todo el gas disponible, afirmó la empresa.

Los usuarios pueden acceder a áreas o funciones restringidas.

Veridise afirma que se han pirateado más de 10 mil millones de dólares desde varias plataformas blockchain y DeFi desde 2018, con una mayor visibilidad de los tipos de vulnerabilidades necesarias para ayudar a dirigir la atención de los proyectos web3 hacia los errores más graves y prevenirlos de forma proactiva.