Firma zajmująca się bezpieczeństwem Blockchain Veridise poinformowała, że podczas audytu projektów o wiedzy zerowej (ZK) krytyczne problemy są identyfikowane dwukrotnie tak często jak konwencjonalne protokoły.
Protokoły ZK stają się popularne ze względu na zwiększoną prywatność i skalowalność transakcji typu blockchain. Pozwalają jednej stronie udowodnić drugiej, że oświadczenie jest prawdziwe, bez ujawniania informacji.
Podczas ostatnich 100 skanów Veridise przeanalizowało 1605 wykrytych luk. Średnio badacze byli w stanie znaleźć około 16 problemów w jednym audycie, przy czym średni wskaźnik audytów w przypadku protokołów wykorzystujących ZK był nieco wyższy i wynosił około 18 problemów. 55% (11 z 20) audytów protokołu ZK zawierało krytyczny problem, w porównaniu do 27,5% (22 z 80) audytów inteligentnych kontraktów, integracji portfeli, implementacji blockchain i przekaźników. Analitycy przypisywali to złożonym projektom kryptograficznym protokołów ZK i ich innowacyjnemu charakterowi.
Według Veridise najczęstszymi lukami w sektorze DeFi były błędy logiczne (385), prawdopodobieństwo odzyskania systemu (355) i weryfikacja danych (304), co stanowi łącznie 65% wszystkich problemów wykrytych podczas audytów. Te trzy problemy dominowały także wśród 360 podatności wykrytych w związku z audytem ZK.
Spośród 223 wykrytych krytycznych luk dominującymi lukami były błędy logiczne (91) i problemy z walidacją danych (35), niewystarczające ograniczenia (19), odmowa usługi (16) i problemy z kontrolą dostępu (13). Około 78% problemów o dużej wadze (174) we wszystkich kontrolach wynikało z tych pięciu rodzajów błędów. Analitycy zauważyli, że ogólnie błędy krytyczne stanowią od 10% do 30% luk w zabezpieczeniach.
Dyrektor generalny i współzałożyciel firmy Veridise, Jon Stephens, wyjaśnił, że tworzenie protokołów ZK wymaga precyzyjnej semantyki transakcji. Kiedy jest nieprawidłowo zakodowany w ograniczeniach, pojawiają się błędy. Duża liczba zidentyfikowanych błędów wynika z faktu, że ZK bardzo różni się od zwykłego paradygmatu programowania. Martwi się, że napastnicy mogliby stworzyć dowody, które nakłonią weryfikatora do uznania fałszywego oświadczenia za prawdziwe, co poważnie podważyłoby integralność protokołu.
Przypomnijmy, że w zeszłym roku zdecentralizowana giełda OKX stała się celem ataku hakerskiego, w wyniku którego strona straciła ponad 2,7 miliona dolarów z powodu naruszenia bezpieczeństwa inteligentnego kontraktu. W marcu projekt kryptograficzny Curio stracił 16 milionów dolarów z powodu krytycznej luki w zabezpieczeniach związanej z prawami głosu.
Источник: bits.media