Menurut The Block: Veridise melaporkan bahwa audit keamanan proyek ZK dua kali lebih umum dibandingkan jenis audit lainnya dan lebih mungkin mengungkap masalah kritis.
55% audit ZK perusahaan menemukan masalah kritis, dibandingkan dengan hanya 27.5% audit DeFi lainnya.
Perusahaan keamanan Blockchain, Veridise, melaporkan bahwa audit terhadap proyek tanpa pengetahuan dua kali lebih mungkin mengungkap masalah kritis dibandingkan jenis audit lainnya.
Veridise menganalisis 1.605 temuan kerentanan dari 100 audit terbarunya dan menemukan rata-rata sekitar 16 masalah per audit, dengan audit ZK memiliki rata-rata sedikit lebih tinggi yaitu 18 masalah yang ditemukan.
Namun, ketika berfokus pada kerentanan kritis, Veridise menemukan bahwa 55% (11 dari 20 audit) audit ZK berisi masalah kritis, sementara audit lainnya (termasuk kontrak pintar, integrasi dompet, implementasi blockchain, dan relayer) Hanya 27,5% (22 dari 80 audit) berisi isu-isu kritis.
Protokol ZK semakin populer di dunia mata uang kripto karena potensinya untuk meningkatkan privasi dan skalabilitas dalam transaksi blockchain. Mereka memungkinkan satu pihak untuk membuktikan kepada pihak lain bahwa suatu pernyataan tertentu benar tanpa mengungkapkan informasi apa pun selain validitas pernyataan tersebut.
Namun, Veridise mengatakan keamanan ZK “lebih menantang,” dengan audit yang mengungkap kerentanan yang lebih kritis karena konstruksi kriptografi yang kompleks dan sifat inovatif dari protokol ZK, yang sering kali melampaui batas-batas kriptografi yang ada.
Jon Stephens, CEO dan salah satu pendiri Veridise, mengatakan kepada The Block, "Mengembangkan sirkuit ZK memerlukan pemikiran yang tepat tentang semantik operasi di generator saksi. Jika semantik ini tidak dikodekan dengan benar sebagai batasan, kesalahan akan terjadi. Memang akan terjadi berada di sirkuit Lebih banyak kesalahan, karena ini sangat berbeda dari paradigma pemrograman pada umumnya."
Secara keseluruhan, kerentanan paling umum yang ditemukan oleh audit Veridise adalah kesalahan logika (385), kemampuan pemeliharaan (355), dan validasi data (304), yang mencakup 65% dari seluruh masalah yang ditemukan. Ketiga jenis masalah ini juga mendominasi kerentanan 360 yang ditemukan oleh audit ZK.
Meskipun masalah pemeliharaan tidak sepenuhnya merupakan kerentanan keamanan dan mencakup, misalnya, praktik pengkodean yang buruk, masalah tersebut terkadang "selangkah lagi" untuk menjadi bug kritis.
Di antara 223 jenis masalah parah (kritis atau tingkat tinggi) yang ditemukan, kesalahan logika (91) dan validasi data (35) mendominasi, diikuti oleh "sirkuit tidak dibatasi" (19) dan penolakan layanan (16) dan kontrol akses (13 ) kerentanan, dll. Kelima jenis ini menyumbang 78% masalah dengan tingkat keparahan tinggi di seluruh audit, dengan total 174 kerentanan ditemukan.
Dari kerentanan yang ditemukan oleh ZK Audit secara khusus, meskipun masalah yang parah mencakup 10% hingga 30% dari sebagian besar jenis kerentanan, "sirkuit tidak dibatasi" memiliki peluang 90% berisi masalah kritis atau tingkat tinggi.
Veridise menjelaskan bahwa "rangkaian tidak dibatasi" adalah masalah umum dalam audit terkait tanpa pengetahuan, di mana batasan pada rangkaian aritmatika tidak cukup menegakkan semua kondisi yang diperlukan untuk memeriksa bahwa perhitungan tertentu dilakukan dengan benar. Situasi ini tidak terjadi pada kontrak pintar tradisional.
Artinya, pihak jahat dapat membuat bukti yang mengelabui validator agar menerima klaim palsu sebagai benar, sehingga sangat membahayakan integritas protokol.
Dalam audit Veridise, teknik tanpa pengetahuan sering kali diterapkan pada protokol infrastruktur penting seperti L2 ZK-rollup, ZK-VM, dan perpustakaan circom - tempat Veridise sebelumnya menemukan bug ZK "bernilai jutaan dolar". Keamanan protokol ini sangat penting karena mempengaruhi semua aplikasi terdesentralisasi yang dibangun di atasnya.
Selain itu, kesalahan logika adalah ketidakmampuan untuk melakukan fungsi yang diharapkan karena kesalahan dalam aliran logika kode, contoh tipikalnya adalah ketika kontrak pintar secara keliru mengizinkan pengguna untuk menarik dana melebihi saldo mereka. Masalah validasi data, di sisi lain, melibatkan kegagalan dalam memverifikasi kebenaran, kelengkapan, dan keaslian data dengan benar.
Masalah penolakan layanan melibatkan serangan yang bertujuan mengganggu fungsi normal suatu protokol, misalnya kontrak pintar mungkin dirancang secara salah untuk memungkinkan penyerang menggunakan semua gas yang tersedia.
Terakhir, masalah kontrol akses melibatkan pengguna untuk dapat mengakses area atau fungsi terlarang.
Veridise mengklaim bahwa lebih dari $10 miliar telah diretas dari berbagai platform blockchain dan DeFi sejak 2018. Pemahaman yang lebih baik tentang jenis kerentanan ini dapat membantu memandu proyek Web3 untuk fokus pada kerentanan yang paling parah dan secara proaktif melindunginya.
