Експерти відзначили підвищену вразливість ZK-протоколів

Аудит DeFi-проєктів на основі технології доказів із нульовим розголошенням (ZK) удвічі частіше виявляв критичні помилки, ніж у загальних випадках. Про це пише The Block з посиланням на звіт Veridise.

Фахівці компанії проаналізували 1605 вразливостей, виявлених під час 100 перевірок. Вони виявили в середньому 16 проблем на аудит, водночас показник ZK-проєктів виявився дещо вищим і становив 18 помилок.

Однак у розрізі критичних вразливостей в останніх 55% (11 з 20) містили подібні проблеми порівняно з 27,5% (22 з 80) у решти перевірок.

За словами експертів, безпека ZK-рішень «просто складніша» через складні криптографічні конструкції та інноваційний характер протоколів.

«Розробка схеми ZK вимагає точного обґрунтування семантики операцій у генераторі свідків. Коли ці конструкції неправильно кодовані через обмеження, ви отримуєте помилки. Логічно, що в [цих] схемах їх більше, оскільки вони сильно відрізняються від типової парадигми програмування», — пояснив співзасновник і CEO Veridise Джон Стівенс.

Загалом найпоширенішими виявленими під час аудитів вразливостями стали логічні помилки (385), зручність обслуговування (355) і перевірка даних (304). На частку цих категорій припало 65% усіх виявлених проблем.

У Veridise зазначили, що недостатня зручність обслуговування, строго кажучи, не належить до вразливостей безпеки. Але погані практики написання коду «перебувають за крок від створення критичних вразливостей», підкреслила команда.

Для ZK-протоколів специфічною проблемою стали «недостатньо обмежені контури», що з імовірністю 90% призводило до серйозної помилки.

«[…] коли обмеження арифметичної схеми не забезпечують достатньою мірою всіх необхідних умов для перевірки того, що деякі обчислення були виконані правильно. Вони не зустрічаються в традиційних смартконтрактах», — зазначили у фірмі.

Це означає, що зловмисник може створити доказ, який обманом змусить того, хто перевіряє, прийняти хибне твердження за істинне, що серйозно підірве цілісність протоколу.