ru
Назад к списку

В протоколах с нулевым разглашением в два раза чаще выявляются критические ошибки

source-logo  bitexpert.io 22 Июль 2024 09:35, UTC

Компания Veridise, специализирующаяся на безопасности блокчейнов, сообщила, что в ходе аудита проектов с нулевым разглашением данных (ZK) выявляется в два раза больше критических проблем по сравнению с традиционными протоколами. Протоколы ZK набирают популярность благодаря их способности улучшать конфиденциальность и масштабируемость блокчейн-транзакций, позволяя одной стороне доказать другой правдивость утверждения без раскрытия данных. В ходе последних 100 аудитов Veridise выявила 1605 уязвимостей. В среднем на один аудит приходилось около 16 проблем, тогда как для протоколов ZK этот показатель немного выше — около 18. Из 20 аудитов ZK 55% (11) содержали критические проблемы, тогда как в проверках смарт-контрактов, кошельков и других блокчейн-технологий этот показатель составил 27,5% (22 из 80).

Аналитики объясняют эту разницу сложностью криптографических конструкций и инновационным характером ZK-протоколов. Veridise сообщает, что самыми распространенными уязвимостями в DeFi стали логические ошибки (385), вероятность восстановления системы (355) и ошибки верификации данных (304), что составляет 65% от всех обнаруженных проблем. Эти три типа уязвимостей также преобладали среди 360 найденных в аудите ZK. Из 223 критических уязвимостей лидировали логические ошибки (91) и ошибки верификации данных (35), за ними следовали недостаточные ограничения (19), отказ в обслуживании (16) и проблемы с контролем доступа (13). Примерно 78% всех серьезных проблем в аудируемых проектах относятся к этим пяти категориям. В целом, критические ошибки составляют от 10% до 30% всех уязвимостей.

Генеральный директор и сооснователь Veridise Джон Стивенс отметил, что разработка протоколов ZK требует точной семантики операций. Ошибки возникают, когда эта семантика неправильно закодирована в ограничениях. По его словам, большое количество выявленных проблем объясняется тем, что ZK сильно отличается от традиционной парадигмы программирования. Он также выразил опасения, что злоумышленники могут создать доказательство, которое обманет проверяющего и заставит принять ложное утверждение за истинное, что серьёзно подорвёт целостность протокола.

bitexpert.io