Blockchain güvenlik firması Veridise, ZK denetimlerinin kritik sorunları ortaya çıkarma olasılığının iki katı olduğunu buluyor.
The Block'un bildirdiğine göre: Veridise, ZK projelerinin güvenlik denetimlerinin diğer denetim türlerine göre kritik sorunları iki kat daha fazla ortaya çıkardığını bildirdi.
Şirketin ZK denetimlerinin %55'inde kritik bir sorun tespit edilirken, diğer DeFi denetimlerinde bu oran %27.5 olarak belirlendi.
Blockchain güvenlik firması Veridise, sıfır bilgi projelerinin denetimlerinin diğer denetim türlerine göre kritik sorunları keşfetme olasılığının iki katı olduğunu bildirdi.
Son 100 denetiminden elde edilen 1,605 güvenlik açığı bulgunu analiz eden Veridise, her denetimde ortalama olarak 16 sorun buldu. ZK denetimlerinde ortalama olarak bu sayı 18 olarak belirlendi ve bu veriler The Block ile paylaşılan bir rapora göre elde edildi.
Ancak kritik güvenlik açıklarına odaklanıldığında, Veridise'nin bulgularına göre, kritik bir sorun içeren ZK denetimlerinin %55'i (20'de 11) diğer denetimlerinin ise %27.5'i (80'de 22) kritik bir sorun içeriyordu. Bu diğer denetimler arasında akıllı kontratlar, cüzdan entegrasyonları, blockchain uygulamaları ve iletişimciler bulunmaktadır.
ZK protokolleri, blok zinciri işlemlerinde gizliliği ve ölçeklenebilirliği artırma potansiyelleri nedeniyle kripto dünyasında ilgi görmektedir. Bu protokoller, bir tarafın diğerine ifadenin doğruluğunu kanıtlamasına olanak tanırken ifadeyle ilgili dışında hiçbir bilgi ortaya çıkarmamaktadır.
Bununla birlikte, Veridise'ye göre ZK güvenliği "basitçe daha zor" ve denetimler karmaşık şifreleme yapılarından ve ZK protokollerinin yenilikçi doğasından kaynaklanan kritik güvenlik açıklarını keşfetmektedir. Bu protokoller genellikle mevcut şifreleme tekniklerinin sınırlarını zorlamaktadır.
Veridise CEO'su ve kurucu ortağı Jon Stephens, "ZK devresi geliştirmek, tanık oluşturucudaki işlemlerin anlamıyla ilgili kesin bir düşünce gerektirir," dedi. "Bu anlamın kısıtlamalara doğru şekilde kodlanmadığı zaman hatalar ortaya çıkar. Devrelerde daha çok hata olması mantıklıdır çünkü bu tipik programlama paradigmasından çok farklıdır."
En yaygın DeFi güvenlik açıkları
Genel olarak, Veridise denetimlerinde keşfedilen en yaygın güvenlik açıkları mantık hataları (385), bakım (355) ve veri doğrulama (304) olarak belirtildi ve şirketin denetimlerinde bulunan bütün sorunların %65'ini oluşturmaktadır. Bu üç parametre, 360 ZK denetimine özgü açık tespitinde de baskın durumdadır.
Bakım sorunları kesinlikle güvenlik açıkları olarak kabul edilmeseler de, örneğin, kötü kodlama uygulamaları gibi bazı durumlar bazen "kritik hatalara dönüşmek için bir єpsilon uzaklıkta" olabilir, ekip dedi.
Keşfedilen 223 ciddi (kritik veya yüksek seviyeli) sorun türlerinin içinde, mantık hataları (91) ve veri doğrulama (35) sorunları baskındı, "yetersiz kısıtlanmış devre" (19), Hizmet Reddi (16) ve erişim kontrolü (13) güvenlik açıkları ise bunları izlemekteydi. Bütün denetimlerde bulunan yüksek ciddiyet seviyesi sorunların %78'i yalnızca bu beş türden kaynaklanmaktadır ve keşfedilen 174 açığın sorumlusudur.
ZK denetimine özgü açıklıklar
Ciddi sorunlar genellikle en açıklık türlerinin %10 ila %30'unu temsil ederken, "yetersiz kısıtlanmış devreler" %90 olasılığa sahiptir.
Veridise’a göre, kritik veya yüksek seviyedeki konuları içerme olasılığı yüksektir.
Şirket şöyle açıkladı: "Sıfır-bilgiye dayalı denetimlerde özellikle tipik olarak "kısıtlanmamış devreler" gibi sorunlar meydana gelir... Bir aritmetik devresinin kısıtları bazı hesaplamaların doğru bir şekilde gerçekleştirildiğini kontrol etmek için gerekli olan tüm koşulları yeterince uygulamazsa." "Geleneksel akıllı sözleşmelerde meydana gelmezler."
Bu, kötü niyetli bir tarafın doğru olarak kabul edilen yanlış bir ifadeyi kabul etmeye aldatan bir kanıt oluşturabileceği anlamına gelir, protokolün bütünlüğünü ciddi şekilde zedeleyebilir.
Veridise'nin denetimlerinde sıfır-bilgi teknolojisi L2 ZK-rolluplar, ZK-VM'ler ve circom kütüphaneleri gibi önemli altyapı protokollerinde sıkça kullanılmaktadır - Veridise daha önce "milyon dolarlık" bir ZK hatasını tespit etmişti. Bu protokollerin güvenliği kritiktir çünkü onlar üzerine inşa edilen tüm merkezi olmayan uygulamaları etkiler.
Diğer sorun türlerine indirgediğimizde, mantık hataları, kodun mantıksal akıştaki bir hatadan dolayı niyet edilen işlevselliğini gerçekleştirmemesi durumunda meydana gelir. Tipik bir örnek, kullanıcıların bakiyesini aşan fonları çekmelerine izin veren bir akıllı sözleşme olabilir.
Veridise'ye göre, veri doğrulama sorunları, verinin işlenmeden önce doğruluğunu, bütünlüğünü ve otantikliğini doğru bir şekilde doğrulamama durumunu içerir.
Hizmet Reddi sorunları, bir protokolün normal işleyişini bozmaya yönelik saldırıları içerir. Örneğin, akıllı sözleşmeler yanlışlıkla bir saldırganın tüm mevcut gazı tüketmesine izin verecek şekilde tasarlanmış olabilir.
Kullanıcılar kısıtlanmış alanlara veya işlevlere erişim sağlayabilirler.
Veridise, 2018'den beri çeşitli blockchain ve DeFi platformlarından 10 milyar doların üzerinde hacklendiğini iddia ediyor; daha ciddi hatalara dikkat çekmek ve bunları önceden önlemek için web3 projelerinin dikkatini en şiddetli hatalara yönlendirmek için gerekli olan görünürlüğün arttığını söylüyor.