Relatado por The Block: Veridise relatou que as auditorias de segurança de projetos ZK têm duas vezes mais probabilidade de revelar problemas críticos do que outros tipos de auditoria. Cerca de 55% das auditorias ZK da empresa continham um problema crítico, em comparação com 27,5% para outras auditorias DeFi.

A empresa de segurança Blockchain Veridise relatou que as auditorias de projetos de conhecimento zero têm duas vezes mais probabilidade de revelar problemas críticos do que outros tipos de auditoria.

Analisando 1.605 descobertas de vulnerabilidades de suas últimas 100 auditorias, a Veridise encontrou cerca de 16 problemas, em média, por auditoria, com médias de auditoria ZK ligeiramente mais altas, com 18 problemas descobertos, de acordo com um relatório compartilhado com o The Block.

No entanto, ao focar em vulnerabilidades críticas, a Veridise descobriu que 55% (11 de 20) auditorias ZK continham um problema crítico em comparação com 27,5% (22 de 80) de suas outras auditorias, incluindo contratos inteligentes, integrações de carteira, implementações de blockchain e retransmissores.

Os protocolos ZK têm ganhado força no espaço criptográfico devido ao seu potencial para aumentar a privacidade e a escalabilidade nas transações blockchain. Eles permitem que uma parte prove à outra que uma afirmação é verdadeira sem revelar qualquer informação além da validade da própria afirmação.

No entanto, a segurança ZK é “simplesmente mais desafiadora”, de acordo com Veridise, com auditorias revelando vulnerabilidades mais críticas devido às construções criptográficas complexas e à natureza inovadora dos protocolos ZK, que muitas vezes ultrapassam os limites das técnicas criptográficas existentes.

“Desenvolver um circuito ZK requer um raciocínio preciso sobre a semântica das operações no gerador de testemunhas”, disse Jon Stephens, CEO e cofundador da Veridise, ao The Block. “Quando essa semântica não é codificada corretamente nas restrições, surgem bugs. Faz sentido que existam mais bugs nos circuitos, já que isso é muito diferente do paradigma típico de programação.”

Vulnerabilidades DeFi mais comuns No geral, as vulnerabilidades mais comuns descobertas pelas auditorias da Veridise são erros lógicos (385), manutenibilidade (355) e validação de dados (304), disse a empresa, compreendendo 65% de todos os problemas encontrados em suas auditorias. Esses três problemas também dominaram entre as vulnerabilidades específicas da auditoria 360 ZK descobertas.

Embora os problemas de manutenção não sejam estritamente vulnerabilidades de segurança, incluindo, por exemplo, práticas de codificação inadequadas, às vezes eles estão “a um épsilon de se transformarem em bugs críticos”, disse a equipe.

Dos 223 tipos de problemas graves (críticos ou de alto nível) descobertos, os problemas de erros lógicos (91) e de validação de dados (35) dominaram, seguidos por “circuito sub-restrito” (19), negação de serviço (16) e controle de acesso (13) vulnerabilidades, entre outros. Cerca de 78% dos problemas de alta gravidade em todas as auditorias são atribuídos apenas a esses cinco tipos, representando 174 vulnerabilidades descobertas.

Vulnerabilidades específicas de auditoria ZKEmbora problemas graves representem cerca de 10% a 30% da maioria dos tipos de vulnerabilidade, “circuitos subrestritos” tinham 90% de probabilidade de conter problemas críticos ou de alto nível, de acordo com Veridise.

“Circuitos subrestritos são problemas típicos, especificamente em auditorias relacionadas com conhecimento zero… quando as restrições de um circuito aritmético não impõem suficientemente todas as condições necessárias para verificar se algum cálculo foi executado corretamente”, explicou a empresa. “Eles não ocorrem em contratos inteligentes tradicionais.”

Isto significa que uma parte mal-intencionada pode criar uma prova que engane o verificador para que aceite uma declaração falsa como verdadeira, prejudicando seriamente a integridade do protocolo.

Nas auditorias da Veridise, a tecnologia de conhecimento zero é frequentemente utilizada em protocolos de infraestrutura cruciais, como L2 ZK-rollups, ZK-VMs e bibliotecas circo – onde a Veridise identificou anteriormente um bug ZK de “um milhão de dólares”. A segurança desses protocolos é crítica porque afeta todos os aplicativos descentralizados construídos sobre eles.

Dividindo os outros tipos de problemas, erros lógicos ocorrem quando o código não executa a funcionalidade pretendida devido a um erro no fluxo lógico, explicou Veradise, sendo um exemplo típico um contrato inteligente que permite erroneamente aos usuários sacar fundos que excedem seu saldo.

Os problemas de validação de dados estão relacionados com a falha na verificação adequada da exatidão, integridade e autenticidade dos dados antes de serem processados.

Os problemas de negação de serviço envolvem ataques que visam interromper o funcionamento normal de um protocolo. Por exemplo, contratos inteligentes podem ser erroneamente concebidos para permitir que um invasor consuma todo o gás disponível, disse a empresa.

os usuários podem obter acesso a áreas ou funções restritas.

Veridise afirma que mais de US$ 10 bilhões foram hackeados de várias plataformas blockchain e DeFi desde 2018, com maior visibilidade sobre os tipos de vulnerabilidades necessárias para ajudar a direcionar a atenção dos projetos web3 para os bugs mais graves e preveni-los proativamente.