Brian Pak là Giám đốc điều hành và đồng sáng lập của ChainLight, một công ty bảo mật blockchain chuyên kiểm toán hợp đồng thông minh và giám sát trên chuỗi.
Cụm từ không có kiến thức, từng được nhắc đến trong các bài báo học thuật và diễn đàn mật mã, đã trở thành xu hướng chủ đạo.
Công nghệ ZK cho phép một bên, chẳng hạn như giao thức blockchain, chứng minh cho bên khác rằng điều gì đó là đúng, chẳng hạn như tuổi của một người, trong khi vẫn giữ thông tin đó hoàn toàn bí mật.
Mật mã ZK đang đạt được thành công trong việc mở rộng mạng lưới hợp đồng thông minh hàng đầu Ethereum. Hơn một chục mạng dựa trên ZK, thường được gọi là ZK rollups, chạy trên Ethereum, với tổng số tiền gửi trị giá 4 tỷ USD.
Nhưng bất chấp sự cường điệu đó, vẫn có một vấn đề lớn. Việc thiếu kiến thức về ZK là một quả bom hẹn giờ.
Hầu hết các nhà phát triển tiền điện tử vẫn biết rất ít về chủ đề phức tạp này.
Và khi ngày càng nhiều nhà phát triển bắt đầu thử nghiệm công nghệ ZK, điều này sẽ tạo ra những rủi ro lớn về bảo mật và thậm chí ngăn cản công nghệ này phát huy tiềm năng thực sự của nó.
Đồng thời, công nghệ ZK hứa hẹn sẽ cách mạng hóa ngành công nghiệp tiền điện tử, do đó, việc giúp các nhà phát triển và cộng đồng người dùng rộng lớn hơn bắt kịp tốc độ là điều bắt buộc.
Các nhà phát triển ZK đang 'không có chiều sâu'
Vào năm 2022, người đồng sáng lập Ethereum Vitalik Buterin đã chỉ ra những rủi ro bảo mật của quá trình tổng hợp ZK, chẳng hạn như lỗi trong mã ràng buộc mạch.
Các mã này rất quan trọng trong quá trình tổng hợp ZK vì chúng xác định và thực thi các quy tắc cho bằng chứng mật mã đảm bảo tính hợp lệ của giao dịch.
Lỗi trong các mã này có thể dẫn đến các lỗ hổng bảo mật nghiêm trọng, chẳng hạn như bằng chứng không chính xác hoặc truy cập quỹ trái phép.
Kể từ cảnh báo của Buterin, các nhà phát triển đã xác định thêm một số lỗ hổng trong các dự án sử dụng công nghệ ZK.
Vào tháng 11, ChainLight đã phát hiện ra một lỗi trong mạch ZK của ZK Sync Era có thể cho phép hacker đánh cắp 1,9 tỷ USD.
Cũng trong năm 2018, một nhà mật mã Zcash đã phát hiện ra lỗ hổng trong bằng chứng không có kiến thức về giao thức. Nếu không được vá, lỗi này có thể cho phép kẻ tấn công tạo mã thông báo Zcash giả mà không bị phát hiện.
Những lỗ hổng như thế này là một bản cáo trạng đáng buồn đối với một dạng công nghệ mới mà rõ ràng là chưa được đủ người hiểu rõ.
Nhiều nhà phát triển viết mã và các chuyên gia bảo mật phải xác nhận tính bảo mật của nó chỉ đơn giản là không hiểu sâu về họ.
Và không có gì đáng ngạc nhiên - bất kỳ ai cũng sẽ nói với bạn rằng cần phải có trình độ hiểu biết tiến sĩ về toán học để tìm hiểu các khía cạnh bảo mật của công nghệ ZK.
Điều này có nghĩa là số lượng người đủ điều kiện để kiểm tra mã ZK bị hạn chế cũng như các nguồn lực cần thiết để đào tạo họ.
Và việc thiếu chuyên gia để kiểm tra mã ZK đúng cách không phải là vấn đề duy nhất.
Các bản tổng hợp ZK, chẳng hạn như zkSync Era và StarkNet, được phát triển nội bộ và do đó, các quy trình đánh giá ngang hàng gần như không kỹ lưỡng như các tiêu chuẩn được thấy trong giới học viện.
Tôi sẽ hoài nghi về tính bảo mật của công nghệ ZK cho đến khi quy trình đánh giá ngang hàng được chuẩn hóa hơn.
ZK không đạt được tiềm năng của nó
Việc thiếu hiểu biết về công nghệ ZK cũng đang cản trở nó phát huy hết tiềm năng của nó.
Điều này là do sự thiếu tin tưởng vào công nghệ khiến các nhà xây dựng lựa chọn các khuôn khổ quen thuộc hơn.
Ví dụ: một trong những lợi ích chính được quảng cáo của việc tổng hợp ZK là tính hữu hạn ngay lập tức.
Điều này có nghĩa là ngay sau khi bằng chứng về một khối được xác minh trên mạng chính Ethereum, kết quả là cuối cùng. Điều này đáng chú ý là cho phép rút tài sản ngay lập tức và cũng cải thiện tính bảo mật.
Các đợt tổng hợp lạc quan, đối thủ chính của các đợt tổng hợp ZK, yêu cầu thời gian chờ bảy ngày để rút tài sản.
Có sự đồng thuận ngày càng tăng rằng các bản tổng hợp ZK là giải pháp ưu việt để mở rộng quy mô Ethereum vượt trên các bản tổng hợp Lạc quan.
Một số còn đi xa hơn khi mô tả chúng như “chén thánh” của các giải pháp mở rộng quy mô.
Người đồng sáng lập của Immutable X, Robbie Ferguson đã mô tả các bản tổng hợp ZK là “cách dễ dàng nhất để mở rộng quy mô các giao dịch thông lượng cao”.
Tuy nhiên, trên thực tế, hầu hết các nhà phát triển vẫn chưa sử dụng công nghệ này đúng với tiềm năng thực sự của nó vì đơn giản là họ không cảm thấy thoải mái khi sử dụng một số tính năng độc đáo của nó do tính phức tạp.
Ví dụ: không có bản tổng hợp ZK hiện tại nào thực sự có tính hữu hạn ngay lập tức được quảng cáo.
Mã hóa mang tính kỹ thuật cao đến mức các nhà phát triển có thể sợ mắc lỗi, thay vào đó, họ chọn không triển khai tính năng cuối cùng ngay lập tức.
Thay vào đó, các giao thức có cái gọi là độ trễ thực thi, trong đó có khoảng thời gian khoảng một ngày để phát hiện hành vi khai thác và hoàn nguyên các thay đổi trước khi chúng được hoàn tất.
Với điều này, tính bảo mật của các bản tổng hợp ZK đi kèm với một sự thỏa hiệp lớn và bỏ qua một trong những lợi ích quan trọng nhất của nó.
Chỉ nâng cao hiểu biết về công nghệ ZK mới cho phép các nhà xây dựng phát huy tối đa tiềm năng của nó mà không ảnh hưởng đến bảo mật.
Bảo mật theo thiết kế
Trên toàn bộ web3 - không chỉ trong lĩnh vực ZK - các dự án không thực hiện kiểm toán đủ nghiêm túc.
Nhiều dự án xem việc kiểm toán chỉ đơn thuần là dấu phê duyệt để tạo cho mình vẻ ngoài có uy tín, thay vì thực hiện các biện pháp bảo mật nghiêm ngặt mà lẽ ra họ phải có.
Có một số trường hợp các lỗi đã biết đã xâm nhập vào các giao thức DeFi mới, khiến các nhà đầu tư thiệt hại hàng triệu đô la.
Ví dụ: một số giao thức phân nhánh mã của giao thức cho vay Complex v2, chẳng hạn như Hundred Finance và Onyx Protocol, đã thực hiện một cách mù quáng và không tính đến các vectơ tấn công đã biết trong mã.
Thay vào đó, các nhà phát triển nên cố gắng xây dựng các giao thức được thiết kế an toàn, nghĩa là chúng được xây dựng theo cách trước hết là bảo vệ khỏi các cuộc tấn công.
Xây dựng theo thiết kế bắt đầu bằng việc cập nhật các mối đe dọa trong hệ sinh thái.
Nếu một dự án thiếu nguồn lực để kiểm tra kỹ lưỡng, thì dự án đó vẫn cần theo kịp các vụ hack xảy ra với các dự án khác để chúng không trở thành nạn nhân.
Mặc dù việc không xây dựng các giao thức được thiết kế an toàn sẽ là một vấn đề đối với bất kỳ dự án nào, nhưng nó đặc biệt bất lợi trong trường hợp công nghệ ZK.
Ví dụ: chúng ta hãy xem các ZKEVM hiện có - các bản tổng hợp ZK sao chép hoàn hảo hệ điều hành của Ethereum.
Nhiều ZKEVM dựa vào các mạch được xác định thủ công, đòi hỏi sự tham gia của con người và sử dụng các thư viện mới, chưa được kiểm tra.
Khả năng các nhà phát triển mắc lỗi trong môi trường này là rất cao, khiến các bản tổng hợp ZK dễ gặp nguy cơ bị tấn công hơn.
Với việc các nhà đầu tư đổ xô vào các đợt giới thiệu ZK, được khuyến khích bởi các đợt airdrop token tiềm năng, họ trở thành mục tiêu sinh lợi cho vụ cướp tiền điện tử lớn tiếp theo.
Các giải pháp
Triển khai bảo mật ngay từ đầu chu kỳ phát triển và trên cơ sở liên tục — chẳng hạn như thông qua tiền thưởng phát hiện lỗi — có thể giúp khắc phục điều này.
Không còn nghi ngờ gì nữa, công nghệ ZK là yếu tố thay đổi cuộc chơi cho Ethereum và sự phát triển liên tục là nền tảng để mở rộng quy mô chuỗi khối.
Tuy nhiên, các giải pháp do bản tổng hợp ZK cung cấp phù hợp với khả năng gây ra vấn đề về bảo mật.
Các công ty khởi nghiệp trước tiên phải thành thật về việc liệu họ đang sử dụng công nghệ ZK vì nó cần thiết hay vì họ đang chạy theo xu hướng.
Nếu họ chắc chắn rằng họ là người đầu tiên thì họ phải nhận thức được những rủi ro và việc xây dựng bảo mật theo thiết kế là điều hoàn toàn cơ bản.
