Site icon GEO Polityka

Sprawdź: Protokoły o wiedzy zerowej dwukrotnie częściej wykrywają błędy krytyczne

Firma zajmująca się bezpieczeństwem Blockchain Veridise poinformowała, że ​​podczas audytu projektów o wiedzy zerowej (ZK) krytyczne problemy są identyfikowane dwukrotnie tak często jak konwencjonalne protokoły.

Protokoły ZK stają się popularne ze względu na zwiększoną prywatność i skalowalność transakcji typu blockchain. Pozwalają jednej stronie udowodnić drugiej, że oświadczenie jest prawdziwe, bez ujawniania informacji.

Podczas ostatnich 100 skanów Veridise przeanalizowało 1605 wykrytych luk. Średnio badacze byli w stanie znaleźć około 16 problemów w jednym audycie, przy czym średni wskaźnik audytów w przypadku protokołów wykorzystujących ZK był nieco wyższy i wynosił około 18 problemów. 55% (11 z 20) audytów protokołu ZK zawierało krytyczny problem, w porównaniu do 27,5% (22 z 80) audytów inteligentnych kontraktów, integracji portfeli, implementacji blockchain i przekaźników. Analitycy przypisywali to złożonym projektom kryptograficznym protokołów ZK i ich innowacyjnemu charakterowi.

Według Veridise najczęstszymi lukami w sektorze DeFi były błędy logiczne (385), prawdopodobieństwo odzyskania systemu (355) i weryfikacja danych (304), co stanowi łącznie 65% wszystkich problemów wykrytych podczas audytów. Te trzy problemy dominowały także wśród 360 podatności wykrytych w związku z audytem ZK.

Spośród 223 wykrytych krytycznych luk dominującymi lukami były błędy logiczne (91) i problemy z walidacją danych (35), niewystarczające ograniczenia (19), odmowa usługi (16) i problemy z kontrolą dostępu (13). Około 78% problemów o dużej wadze (174) we wszystkich kontrolach wynikało z tych pięciu rodzajów błędów. Analitycy zauważyli, że ogólnie błędy krytyczne stanowią od 10% do 30% luk w zabezpieczeniach.

Dyrektor generalny i współzałożyciel firmy Veridise, Jon Stephens, wyjaśnił, że tworzenie protokołów ZK wymaga precyzyjnej semantyki transakcji. Kiedy jest nieprawidłowo zakodowany w ograniczeniach, pojawiają się błędy. Duża liczba zidentyfikowanych błędów wynika z faktu, że ZK bardzo różni się od zwykłego paradygmatu programowania. Martwi się, że napastnicy mogliby stworzyć dowody, które nakłonią weryfikatora do uznania fałszywego oświadczenia za prawdziwe, co poważnie podważyłoby integralność protokołu.

Przypomnijmy, że w zeszłym roku zdecentralizowana giełda OKX stała się celem ataku hakerskiego, w wyniku którego strona straciła ponad 2,7 miliona dolarów z powodu naruszenia bezpieczeństwa inteligentnego kontraktu. W marcu projekt kryptograficzny Curio stracił 16 milionów dolarów z powodu krytycznej luki w zabezpieczeniach związanej z prawami głosu.

Источник: bits.media

Exit mobile version