Brian Pak, akıllı sözleşme denetimleri ve zincir içi izleme konusunda uzmanlaşmış bir blockchain güvenlik firması olan ChainLight'ın CEO'su ve kurucu ortağıdır.
Bir zamanlar akademik makalelere ve kriptografi forumlarına konu olan sıfır bilgi kelimeleri artık ana akımda gürledi.
ZK teknolojisi, blockchain protokolü gibi bir tarafın, bir kişinin yaşı gibi bir şeyin doğru olduğunu diğer tarafa kanıtlamasına ve bu bilgiyi tamamen gizli tutmasına olanak tanır.
ZK kriptografisi, en iyi akıllı sözleşme ağı Ethereum'u ölçeklendirmede başarıya ulaşıyor. Genellikle ZK toplamaları olarak adlandırılan bir düzineden fazla ZK tabanlı ağ, toplamda 4 milyar dolar değerinde mevduatla Ethereum üzerinde çalışıyor.
Ancak tüm bu abartıya rağmen büyük bir sorun var. ZK hakkındaki bilgi eksikliği saatli bir bombadır.
Çoğu kripto geliştiricisi bu karmaşık konu hakkında hâlâ çok az şey biliyor.
Daha fazla geliştirici ZK teknolojisini denemeye başladıkça, bu büyük güvenlik riskleri yaratıyor ve hatta teknolojinin gerçek potansiyeline ulaşmasını engelliyor.
Aynı zamanda, ZK teknolojisi kripto endüstrisinde devrim yaratmayı vaat ediyor, bu nedenle geliştiricilerin ve daha geniş kullanıcı topluluğunun bu konuda bilgilendirilmesi zorunludur.
ZK geliştiricileri 'derinliklerini aşmış'
2022'de Ethereum kurucu ortağı Vitalik Buterin, devre kısıtlama kodundaki hatalar gibi ZK toplamalarının güvenlik risklerine dikkat çekti.
Bu kodlar, işlemin geçerliliğini sağlayan şifreleme kanıtlarına yönelik kuralları tanımlayıp uyguladıkları için ZK toplamalarında kritik öneme sahiptir.
Bu kodlardaki hatalar, yanlış kanıt veya yetkisiz fon erişimi gibi ciddi güvenlik açıklarına yol açabilir.
Buterin'in uyarısından bu yana geliştiriciler, ZK teknolojisini kullanan projelerde birkaç güvenlik açığı daha tespit etti.
Kasım ayında ChainLight, ZK Sync Era'nın ZK devrelerinde bir bilgisayar korsanının 1,9 milyar dolar çalmasına olanak verebilecek bir hata keşfetti.
Ayrıca 2018'de bir Zcash kriptografı, protokolün altında yatan sıfır bilgi kanıtlarında bir güvenlik açığı keşfetti. Yama yapılmadan bırakılırsa, hata, bir saldırganın tespit edilmeden sahte Zcash tokenleri oluşturmasına olanak tanıyabilecekti.
Bunun gibi güvenlik açıkları, yeterince insan tarafından açıkça anlaşılmayan yeni bir teknoloji biçimine yönelik üzücü bir suçlamadır.
Kodu yazan birçok geliştirici ve kodun güvenliğini onaylamak zorunda olan güvenlik uzmanları, derinliklerinin dışındadır.
Ve bu şaşırtıcı değil; herkes size ZK teknolojisinin güvenlik yönlerini anlamak için matematikte doktora düzeyinde bilgi birikiminin gerekli olduğunu söyleyecektir.
Bu, ZK kodunu denetlemeye yetkili kişi sayısının ve onları eğitmek için gerekli kaynakların sınırlı olduğu anlamına gelir.
Ve ZK kodunu doğru şekilde denetleyecek uzmanların bulunmaması tek sorun değil.
zkSync Era ve StarkNet gibi ZK özetleri şirket içinde geliştirilmektedir ve sonuç olarak hakem değerlendirme süreçleri akademide görülen standartlar kadar kapsamlı değildir.
Hakem değerlendirmesi süreci daha standart hale gelene kadar ZK teknoloji güvenliğine şüpheyle yaklaşmaya devam edeceğim.
ZK potansiyeline ulaşamıyor
ZK teknolojisinin anlaşılmaması da onun tam potansiyeline ulaşmasını engelliyor.
Bunun nedeni, inşaatçıların daha tanıdık çerçeveler seçmesine yol açan teknolojiye olan güven eksikliğidir.
Örneğin, ZK toplamalarının öne sürülen en büyük faydalarından biri anında kesinliktir.
Bu, Ethereum ana ağında bir bloğun kanıtı doğrulanır doğrulanmaz sonuçların kesin olacağı anlamına gelir. Bu özellikle anında varlık çekilmesine olanak tanır ve aynı zamanda güvenliği artırır.
ZK toplamalarının ana rakibi olan iyimser toplamalar, varlıkların çekilmesi için yedi günlük bir bekleme süresi gerektiriyor.
ZK toplamalarının, Ethereum'u İyimser toplamaların ötesinde ölçeklendirmek için üstün bir çözüm olduğuna dair büyüyen bir fikir birliği var.
Bazıları bunları ölçeklendirme çözümlerinin "kutsal kasesi" olarak tanımlayacak kadar ileri gidiyor.
Immutable X'in kurucu ortağı Robbie Ferguson, ZK toplamalarını "yüksek verimli işlemleri ölçeklendirmenin açık ara en kolay yolu" olarak tanımladı.
Ancak gerçekte çoğu geliştirici, teknolojiyi hâlâ gerçek potansiyeline uygun şekilde kullanmıyor çünkü karmaşıklığı nedeniyle bazı benzersiz özelliklerini kullanma konusunda rahat değiller.
Örneğin, mevcut ZK toplamalarının hiçbiri gerçekte reklamı yapılan anlık kesinliğe sahip değildir.
Kodlama o kadar teknik ki geliştiriciler hata yapmaktan korkabilir ve bu da onları anında kesinlik uygulamamayı tercih etmeye yönlendirebilir.
Bunun yerine, protokollerde, bir istismarın tespit edilmesi ve değişikliklerin sonlandırılmadan önce geri döndürülmesi için kabaca bir günlük bir pencerenin bulunduğu sözde yürütme gecikmesi vardır.
Bununla birlikte, ZK toplamalarının güvenliği büyük bir tavizi beraberinde getiriyor ve en önemli faydalarından birinden feragat ediyor.
Yalnızca ZK teknolojisine ilişkin anlayışın geliştirilmesi, inşaatçıların güvenlikten ödün vermeden potansiyelini en üst düzeye çıkarmasına olanak tanıyacaktır.
Tasarım gereği güvenlik
Yalnızca ZK alanında değil, web3'ün tamamında projeler denetimleri yeterince ciddiye almıyor.
Pek çok proje, denetimleri, olması gereken sıkı güvenlik önlemlerinden ziyade, yalnızca kendilerini saygın gösterme amaçlı onay damgaları olarak görüyor.
Bilinen hataların yeni DeFi protokollerine sızdığı ve yatırımcılara milyonlara mal olduğu birkaç durum var.
Örneğin, Hundred Finance ve Onyx Protokolü gibi borç verme protokolü Compound v2'nin kodunu çatallayan çeşitli protokoller bunu körü körüne yaptı ve koddaki bilinen saldırı vektörlerini hesaba katmakta başarısız oldu.
Bunun yerine geliştiriciler, tasarım gereği güvenli protokoller oluşturmaya çalışmalıdır; bu, bunların her şeyden önce saldırılara karşı koruma sağlayacak şekilde oluşturulduğu anlamına gelir.
Tasarım yoluyla inşa etmek, ekosistemdeki tehditlere karşı güncel kalmakla başlar.
Bir proje kapsamlı denetim için gerekli kaynaklara sahip değilse, yine de diğer projelerin başına gelen saldırılara ayak uydurması gerekir, böylece kendilerinin kurbanı olmazlar.
Tasarım gereği güvenli protokoller oluşturamamak her proje için sorun olsa da ZK teknolojisi söz konusu olduğunda özellikle zararlıdır.
Örneğin, mevcut ZKEVM'lere (Ethereum'un işletim sistemini mükemmel şekilde kopyalayan ZK toplamalarına) bir göz atalım.
Birçok ZKEVM, insan müdahalesini gerektiren ve genç, test edilmemiş kitaplıkları kullanan, manuel olarak tanımlanmış devrelere dayanır.
Geliştiricilerin bu ortamda hata yapma olasılığı yüksektir ve ZK toplamalarını saldırı riskine karşı daha savunmasız bırakır.
Potansiyel token airdrop'larının teşvik ettiği ZK toplamalarına yığılan yatırımcılar, bir sonraki büyük kripto soygunu için kazançlı hedefler haline geliyor.
Çözümler
Güvenliği geliştirme döngüsünün en başında ve sürekli olarak (örneğin hata ödülleri aracılığıyla) uygulamak, bu sorunun çözülmesine yardımcı olabilir.
ZK teknolojisinin Ethereum için oyunun kurallarını değiştireceğine şüphe yok ve blok zincirini ölçeklendirmek için sürekli gelişme esastır.
Ancak ZK toplamalarının sunduğu çözümler, güvenlik sorunlarına neden olma potansiyelleriyle eşleşiyor.
Startup'lar öncelikle ZK teknolojisini gerekli olduğu için mi, yoksa modaya ayak uydurdukları için mi kullandıkları konusunda dürüst olmalılar.
Eğer birincisi olduklarından eminlerse, o zaman risklerin farkında olmalılar ve tasarım gereği güvenlikle inşa etmek kesinlikle temeldir.
