Công ty an ninh blockchain Veridise cho biết rằng kiểm định không mạng (ZK) có khả năng phát hiện vấn đề quan trọng gấp đôi so với các loại kiểm định khác. Phân tích 1.605 lỗ hổng từ 100 cuộc kiểm định, Veridise phát hiện trung bình có 16 vấn đề mỗi cuộc kiểm định, trong khi kiểm định ZK trung bình có 18 vấn đề. Cụ thể, 55% kiểm định ZK chứa một vấn đề quan trọng, so với 27,5% cho các kiểm định khác. Giao thức ZK, nổi tiếng vì tăng cường quyền riêng tư và khả năng mở rộng trong giao dịch blockchain, đặt ra thách thức độc đáo do cấu trúc mật mã phức tạp của chúng. Các lỗ hổng phổ biến trong kiểm định của Veridise bao gồm lỗi logic, vấn đề bảo trì và vấn đề xác nhận dữ liệu. Công ty cũng nhấn mạnh rằng 'mạch không mạnh' trong kiểm định ZK đặc biệt dễ gặp vấn đề quan trọng, có thể cho phép các bên độc hại đánh đổ tính toàn vẹn của giao thức. Các kết luận của Veridise nhấn mạnh tầm quan trọng của sự kiểm tra chuyên sâu cho các công nghệ ZK trong an ninh blockchain.

Công ty an ninh Blockchain Veridise báo cáo rằng việc kiểm toán các dự án zero-knowledge có khả năng phát hiện các vấn đề nghiêm trọng gấp đôi so với các loại kiểm toán khác. Phân tích 1.605 phát hiện lỗ hổng từ 100 cuộc kiểm toán gần đây nhất, Veridise tìm thấy khoảng 16 vấn đề trung bình mỗi cuộc kiểm toán, với số lượng trung bình trong kiểm toán ZK cao hơn một chút là 18 vấn đề được phát hiện, theo một báo cáo được chia sẻ với The Block. Tuy nhiên, khi tập trung vào các lỗ hổng nghiêm trọng, Veridise phát hiện thấy 55% (11 trên 20) cuộc kiểm toán ZK có chứa một vấn đề nghiêm trọng so với 27,5% (22 trên 80) các cuộc kiểm toán khác của họ, bao gồm hợp đồng thông minh, tích hợp ví, triển khai blockchain và relayers. Các giao thức ZK đang ngày càng được chú ý trong không gian tiền điện tử do khả năng tăng cường quyền riêng tư và khả năng mở rộng trong các giao dịch blockchain. Chúng cho phép một bên chứng minh cho bên kia rằng một tuyên bố là đúng mà không tiết lộ bất kỳ thông tin nào ngoài tính hợp lệ của tuyên bố đó. Tuy nhiên, an ninh ZK là “đơn giản là thách thức hơn,” theo Veridise, với các cuộc kiểm toán phát hiện ra nhiều lỗ hổng nghiêm trọng hơn do các cấu trúc mật mã phức tạp và bản chất đổi mới của các giao thức ZK, thường xuyên đẩy giới hạn của các kỹ thuật mật mã hiện có. “Phát triển một mạch ZK đòi hỏi suy nghĩ chính xác về ngữ nghĩa của các hoạt động trong bộ tạo chứng từ,” Giám đốc điều hành và đồng sáng lập Veridise Jon Stephens nói với The Block. “Khi ngữ nghĩa đó không được mã hóa chính xác thành các ràng buộc, bạn sẽ gặp lỗi. Điều này có ý nghĩa khi có nhiều lỗi hơn trong các mạch vì điều này rất khác so với mô hình lập trình thông thường.” Tổng thể, các lỗ hổng phổ biến nhất được phát hiện bởi các cuộc kiểm toán của Veridise là lỗi logic (385), bảo trì (355) và xác thực dữ liệu (304), công ty cho biết, chiếm 65% tổng số vấn đề tìm thấy trong các cuộc kiểm toán của họ. Ba vấn đề này cũng chiếm ưu thế trong số 360 lỗ hổng cụ thể của kiểm toán ZK được phát hiện. Mặc dù các vấn đề bảo trì không hoàn toàn là lỗ hổng bảo mật, bao gồm, ví dụ, các thực hành lập trình kém, chúng đôi khi “cách một epsilon để trở thành lỗi nghiêm trọng,” nhóm nói. Trong số 223 loại vấn đề nghiêm trọng (nghiêm trọng hoặc cấp độ cao) được phát hiện, lỗi logic (91) và vấn đề xác thực dữ liệu (35) chiếm ưu thế, tiếp theo là “mạch không đủ ràng buộc” (19), Từ chối Dịch vụ (16) và lỗ hổng kiểm soát truy cập (13), trong số các lỗ hổng khác. Khoảng 78% các vấn đề nghiêm trọng cao trên tất cả các cuộc kiểm toán đều liên quan đến chỉ năm loại này, chiếm 174 lỗ hổng được phát hiện. Trong khi các vấn đề nghiêm trọng chiếm khoảng 10% đến 30% hầu hết các loại lỗ hổng, “mạch không đủ ràng buộc” có khả năng 90% chứa các vấn đề nghiêm trọng hoặc cấp độ cao, theo Veridise. “Các mạch không đủ ràng buộc là các vấn đề điển hình cụ thể trong các cuộc kiểm toán liên quan đến zero-knowledge… khi các ràng buộc của một mạch số học không đủ để thực thi tất cả các điều kiện cần thiết để kiểm tra xem một phép tính đã được thực hiện chính xác hay không,” công ty giải thích. “Chúng không xảy ra trong các hợp đồng thông minh truyền thống.” Điều này có nghĩa là một bên xấu có thể tạo ra một bằng chứng lừa đảo người xác minh chấp nhận một tuyên bố sai là đúng, làm suy yếu nghiêm trọng tính toàn vẹn của giao thức. Trong các cuộc kiểm toán của Veridise, công nghệ zero-knowledge thường được sử dụng trong các giao thức hạ tầng quan trọng như L2 ZK-rollups, ZK-VMs và thư viện circom — nơi Veridise trước đây đã xác định một lỗi ZK trị giá “triệu đô”. An ninh của các giao thức này rất quan trọng vì nó ảnh hưởng đến tất cả các ứng dụng phi tập trung được xây dựng trên chúng. Phân tích các loại vấn đề khác, lỗi logic xảy ra khi mã không thực hiện chức năng dự định của nó do một lỗi trong luồng logic, Veradise giải thích, với một ví dụ điển hình là một hợp đồng thông minh cho phép người dùng rút tiền vượt quá số dư của họ một cách nhầm lẫn. Các vấn đề xác thực dữ liệu liên quan đến việc không kiểm tra đúng cách tính chính xác, toàn vẹn và xác thực của dữ liệu trước khi nó được xử lý. Các vấn đề Từ chối Dịch vụ liên quan đến các cuộc tấn công nhằm làm gián đoạn hoạt động bình thường của một giao thức. Ví dụ, các hợp đồng thông minh có thể được thiết kế sai lầm để cho phép kẻ tấn công tiêu thụ tất cả khí đốt có sẵn, công ty cho biết. Cuối cùng, các vấn đề kiểm soát truy cập là các vấn đề nơi người dùng không được ủy quyền có thể truy cập vào các khu vực hoặc chức năng bị hạn chế. Veridise tuyên bố rằng hơn 10 tỷ đô la đã bị hack từ các nền tảng blockchain và DeFi kể từ năm 2018, với sự hiểu biết rõ ràng hơn về các loại lỗ hổng cần thiết để giúp hướng sự chú ý của các dự án web3 đến các lỗi nghiêm trọng nhất và chủ động ngăn chặn chúng. Manta Network, Scroll và Ankr là một số khách hàng kiểm toán của công ty, theo trang web của họ.

Veridise cho biết việc kiểm toán không tiết lộ thông tin có khả năng phát hiện ra các vấn đề quan trọng hơn.