Descargo de responsabilidad: Esta plataforma incluye opiniones de terceros. No respaldamos su exactitud. Los precios de los activos digitales pueden ser volátiles. Haga sus propias ideas. Ver términos completos

NoticiasLa firma de seguridad blockchain Veridise descubre que las auditorías ZK tienen el doble de probabilidades de descubrir problemas críticos.

La firma de seguridad blockchain Veridise descubre que las auditorías ZK tienen el doble de probabilidades de descubrir problemas críticos.

Jul 22,2024,10:19

Reportado por The Block: Veridise informó que las auditorías de seguridad de proyectos ZK tienen el doble de probabilidades de descubrir problemas críticos que otros tipos de auditorías.
Alrededor del 55% de las auditorías ZK de la empresa contenían un problema crítico, en comparación con el 27.5% de otras auditorías DeFi.

La firma de seguridad en blockchain Veridise informó que las auditorías de proyectos de conocimiento cero son dos veces más propensas a descubrir problemas críticos que otros tipos de auditorías.

Al analizar 1,605 hallazgos de vulnerabilidades de sus últimas 100 auditorías, Veridise encontró alrededor de 16 problemas, en promedio, por auditoría, con un promedio ligeramente mayor de 18 problemas descubiertos en auditorías ZK, según un informe compartido con The Block.

Sin embargo, al enfocarse en vulnerabilidades críticas, Veridise encontró que el 55% (11 de 20) de las auditorías ZK contenían un problema crítico en comparación con el 27.5% (22 de 80) de sus otras auditorías, que incluyen contratos inteligentes, integraciones de billetera, implementaciones de blockchain y relayers.

Los protocolos ZK han ido ganando tracción en el espacio criptográfico debido a su potencial para mejorar la privacidad y escalabilidad en transacciones blockchain. Permiten que una parte demuestre a otra que una afirmación es verdadera sin revelar ninguna información más allá de la validez de la afirmación en sí misma.

Sin embargo, la seguridad ZK es "simplemente más desafiante", según Veridise, con auditorías que descubren más vulnerabilidades críticas debido a las complejas construcciones criptográficas y la naturaleza innovadora de los protocolos ZK, que a menudo sobrepasan los límites de las técnicas criptográficas existentes.

"Desarrollar un circuito ZK requiere un razonamiento preciso sobre la semántica de las operaciones en el generador de testigos", dijo Jon Stephens, CEO y cofundador de Veridise, a The Block. "Cuando esa semántica no se codifica correctamente en las restricciones, se producen errores. Tiene sentido que haya más errores en los circuitos ya que esto es muy diferente del paradigma de programación típico."

Vulnerabilidades DeFi más comunes
En general, las vulnerabilidades más comunes descubiertas por las auditorías de Veridise son errores de lógica (385), mantenibilidad (355) y validación de datos (304), dijo la empresa, que comprenden el 65% de todos los problemas encontrados en sus auditorías. Estos tres problemas también dominaron entre las 360 vulnerabilidades específicas de auditorías ZK descubiertas.

Aunque los problemas de mantenibilidad no son estrictamente vulnerabilidades de seguridad, incluyendo, por ejemplo, malas prácticas de codificación, a veces están "a un epsilon de convertirse en errores críticos", dijo el equipo.

De los 223 tipos de problemas graves (críticos o de alto nivel) descubiertos, los errores de lógica (91) y los problemas de validación de datos (35) dominaron, seguidos por "circuito subconstreñido" (19), de denegación de servicio (16) y de control de acceso (13) vulnerabilidades, entre otros. Alrededor del 78% de los problemas de alta gravedad en todas las auditorías se remontan solo a estos cinco tipos, lo que representó 174 vulnerabilidades descubiertas.

Vulnerabilidades específicas de auditorías ZK
Mientras que los problemas graves representan alrededor del 10% al 30% de la mayoría de los tipos de vulnerabilidades, los "circuitos subconstreñidos" tenían una probabilidad del 90%

Según Veridise, existe una alta probabilidad de contener problemas críticos o de alto nivel.

"Los circuitos subdimensionados son problemas típicos específicamente en auditorías relacionadas con el conocimiento cero ... cuando las restricciones de un circuito aritmético no hacen cumplir de manera suficiente todas las condiciones necesarias para verificar que cierta computación se realizó correctamente", explicó la firma. "No ocurren en contratos inteligentes tradicionales".

Esto significa que una parte maliciosa podría crear una prueba que engañe al verificador para que acepte una declaración falsa como verdadera, socavando seriamente la integridad del protocolo.

En las auditorías de Veridise, la tecnología de conocimiento cero se utiliza con frecuencia en protocolos de infraestructura crucial como L2 ZK-rollups, ZK-VMs y bibliotecas circom, donde Veridise identificó anteriormente un error de ZK de "millones de dólares". La seguridad de estos protocolos es crítica porque afecta a todas las aplicaciones descentralizadas construidas sobre ellos.

Desglosando otros tipos de problemas, los errores lógicos ocurren cuando el código no realiza su funcionalidad prevista debido a un error en el flujo lógico, explicó Veradise, con un ejemplo típico siendo un contrato inteligente que permite erróneamente a los usuarios retirar fondos que exceden su saldo.

Los problemas de validación de datos se relacionan con la falta de verificar adecuadamente la corrección, integridad y autenticidad de los datos antes de ser procesados.

Los problemas de Denegación de Servicio involucran ataques que buscan interrumpir el funcionamiento normal de un protocolo. Por ejemplo, los contratos inteligentes podrían diseñarse erróneamente para permitir a un atacante consumir todo el gas disponible, dijo la firma.

Los usuarios pueden obtener acceso a áreas o funciones restringidas.

Veridise afirma que se han pirateado más de $10 mil millones de varias plataformas blockchain y DeFi desde 2018, con una mayor visibilidad sobre los tipos de vulnerabilidades necesarias para dirigir la atención de los proyectos web3 hacia los bugs más graves y prevenirlos proactivamente.

Fuente
Noticias
Únete a nuestra comunidad

Obtén la aplicación BloFin