Аудиты DeFi проектов, основанных на технологии доказательств нулевого разглашения (ZK), в два раза чаще выявляли критические ошибки по сравнению с другими проектами, сообщает The Block со ссылкой на отчет Veridise.
Эксперты компании проанализировали 1 605 уязвимостей, выявленных в ходе 100 аудитов. В среднем за один аудит они находили 16 проблем, причем в проектах ZK этот показатель был выше - 18 ошибок.
Что касается критических уязвимостей, то в 55 % (11 из 20) проектов ZK они были обнаружены, по сравнению с 27,5 % (22 из 80) других проектов.
Эксперты отметили, что безопасность решений ZK «просто сложнее» из-за сложных криптографических конструкций и инновационного характера протоколов. Соучредитель и генеральный директор Veridise Джон Стивенс объяснил, что разработка схемы ZK требует точных рассуждений о семантике операций в генераторе свидетелей. Когда эти конструкции неправильно закодированы из-за ограничений, возникают ошибки.По словам Стивенса : «Логично, что в этих схемах больше ошибок, поскольку они сильно отличаются от типичной парадигмы программирования».
В целом, наиболее распространенными уязвимостями, обнаруженными в ходе проверок, были логические ошибки (385), сопровождаемость (355) и проверка данных (304). На эти категории пришлось 65 % всех выявленных проблем.
Веридиз подчеркнул, что недостаточная сопровождаемость не является уязвимостью безопасности в строгом смысле этого слова, но плохая практика написания кода «в одном шаге от создания критических уязвимостей».
Для протоколов ZK специфической проблемой были «недостаточно ограниченные циклы», которые с вероятностью 90 % приводили к серьезной ошибке. Это происходит, когда ограничения арифметической схемы не обеспечивают достаточных условий для проверки корректности вычислений. В Veridise отметили,что таких условий нет в традиционных смарт-контрактах.
Это означает, что злоумышленник может создать доказательство, которое обманет проверяющего и заставит его принять ложное утверждение за истинное, серьезно нарушив целостность протокола».
Напомним, ForkLog рассказывал о развитии протоколов ZK в 2024 году в эксклюзивном материале.
