Kiểm toán ZK tăng tỷ lệ phát hiện các vấn đề nghiêm trọng lên gấp đôi

Updated: 23/07/2024 at 6:30

Công ty bảo mật blockchain Veridise đã báo cáo việc kiểm toán các dự án zero-knowledge (ZK)* có khả năng phát hiện vấn đề nghiêm trọng cao gấp đôi so với các loại kiểm toán khác.

Phân tích 1.605 phát hiện lỗ hổng từ 100 cuộc kiểm toán gần đây nhất, Veridise đã tìm thấy trung bình khoảng 16 vấn đề trong mỗi cuộc kiểm toán, với mức trung bình kiểm toán ZK cao hơn một chút là 18 vấn đề được phát hiện.

Tuy nhiên, khi tập trung vào các lỗ hổng nghiêm trọng, Veridise nhận thấy 55% (11 trên 20) cuộc kiểm toán ZK tìm thấy vấn đề nghiêm trọng so với 27,5% (22 trên 80) các cuộc kiểm toán khác, bao gồm hợp đồng thông minh, tích hợp ví, triển khai blockchain và relayer.

Các giao thức ZK đã và đang thu hút được sự chú ý trong không gian tiền điện tử nhờ tiềm năng nâng cao quyền riêng tư và khả năng mở rộng trong các giao dịch blockchain. Chúng cho phép một bên chứng minh cho bên kia rằng tuyên bố là đúng mà không tiết lộ bất kỳ thông tin nào ngoài giá trị của chính tuyên bố đó.

Tuy nhiên, theo Veridise, bảo mật ZK “thách thức hơn”, khi các cuộc kiểm toán phát hiện ra nhiều lỗ hổng nghiêm trọng hơn do cấu trúc mật mã phức tạp và tính chất đổi mới của các giao thức ZK, thường vượt qua ranh giới của các kỹ thuật mã hóa hiện có.

Jon Stephens, CEO và đồng sáng lập của Veridise, nói:

“Việc phát triển mạch ZK đòi hỏi phải có lý luận chính xác về ngữ nghĩa của các hoạt động trong trình tạo nhân chứng. Khi những ngữ nghĩa đó không được mã hóa chính xác thành các ràng buộc, bạn sẽ gặp lỗi. Điều hợp lý là có nhiều lỗi hơn trong các mạch vì nó rất khác với mô hình lập trình thông thường”.

Các lỗ hổng DeFi phổ biến nhất

Công ty cho biết, nhìn chung, lỗ hổng phổ biến nhất mà các cuộc kiểm toán của Veridise phát hiện là lỗi logic (385), khả năng bảo trì (355) và xác thực dữ liệu (304), chiếm 65% tất cả các vấn đề được tìm thấy trong các cuộc kiểm toán. Ba vấn đề này cũng chiếm ưu thế trong số các lỗ hổng dành riêng cho kiểm toán 360 ZK.

Mặc dù các vấn đề về khả năng bảo trì không hẳn là lỗ hổng bảo mật nghiêm trọng, chẳng hạn như thực hành code hóa kém, nhưng đôi khi chúng “chỉ còn cách một chút nữa là có thể trở thành lỗi nghiêm trọng”.

Trong số 223 loại sự cố nghiêm trọng (nghiêm trọng hoặc cao hơn) bị phát hiện, các lỗ hổng lỗi logic (91) và xác thực dữ liệu (35) chiếm ưu thế, tiếp theo là “mạch không bị giới hạn” (19), Từ chối dịch vụ (DoS)(16) và kiểm soát truy cập (13),… Khoảng 78% các vấn đề có mức độ nghiêm trọng cao trong tất cả các cuộc kiểm toán chỉ liên quan đến 5 loại này, chiếm 174 lỗ hổng bị phát hiện.

Các lỗ hổng dành riêng cho kiểm toán ZK

Theo Veridise, mặc dù các sự cố nghiêm trọng chiếm khoảng 10% đến 30% hầu hết các loại lỗ hổng bảo mật, nhưng “các mạch không đầy đủ ràng buộc” có 90% khả năng chứa các sự cố nghiêm trọng hoặc cao hơn.

“Các mạch không đầy đủ ràng buộc là các vấn đề điển hình, đặc biệt trong các cuộc kiểm toán liên quan đến ZK… khi các ràng buộc của mạch số học không thực thi đầy đủ tất cả các điều kiện cần thiết để kiểm tra xem một số tính toán có được thực hiện chính xác hay không. Chúng không xảy ra trong các hợp đồng thông minh truyền thống”.

Điều này có nghĩa là một bên độc hại có thể tạo bằng chứng đánh lừa người xác minh chấp nhận một tuyên bố sai là đúng, làm suy yếu nghiêm trọng tính toàn vẹn của giao thức.

Trong các cuộc kiểm toán của Veridise, công nghệ ZK thường được sử dụng trong các giao thức cơ sở hạ tầng quan trọng như rollup ZK L2, ZK-VM và thư viện Circom — trong đó Veridise đã xác định một lỗi ZK “triệu đô la” cho Succinct Labs vào tháng 1. Tính bảo mật của các giao thức này rất quan trọng vì nó ảnh hưởng đến tất cả các ứng dụng phi tập trung được xây dựng trên đó.

Phân tích các loại vấn đề khác, lỗi logic xảy ra khi code không thực hiện chức năng dự định do lỗi trong luồng logic. Một ví dụ điển hình là hợp đồng thông minh cho phép người dùng rút nhầm số tiền vượt quá số dư của họ.

Các vấn đề xác thực dữ liệu là không xác minh đúng tính chính xác, tính toàn vẹn và tính xác thực của dữ liệu trước khi xử lý.

Vấn đề DoS thường liên quan đến các cuộc tấn công nhằm phá vỡ hoạt động bình thường của giao thức. Ví dụ, hợp đồng thông minh có thể được thiết kế nhầm để cho phép kẻ tấn công tiêu thụ hết lượng gas có sẵn.

Cuối cùng, vấn đề kiểm soát truy cập là vấn đề trong đó người dùng trái phép có thể truy cập vào các khu vực hoặc chức năng bị hạn chế.

Veridise tuyên bố hơn 10 tỷ đô la đã bị hack từ nhiều nền tảng blockchain và DeFi khác nhau kể từ năm 2018, nên cần chỉ rõ các loại lỗ hổng cần thiết để giúp hướng sự chú ý của các dự án Web3 tới các lỗi nghiêm trọng nhất và chủ động ngăn chặn.

zk

Số tiền bị các kẻ tấn công DeFi đánh cắp | Nguồn: The Block

Theo trang web của công ty, Manta Network, Scroll và Ankr là một trong những khách hàng kiểm toán của công ty.

*Zero-knowledge (ZK) ám chỉ một loại giao thức trong đó một bên có thể chứng minh cho bên kia rằng một tuyên bố là đúng mà không cần tiết lộ bất kỳ thông tin nào khác ngoài tính xác thực của tuyên bố đó.

Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn

Theo dõi Twitter (X): https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin

Minh Anh

Theo The Block

Được đề cập trong bài viết
Bình luận
Mới cập nhật

Theo dữ liệu từ công ty phân tích Lookonchain, Galaxy Digital – công ty dịch vụ tài chính do tỷ phú Mike Novogratz sáng lập – vừa chuyển 10.000 BTC (tương đương khoảng 1,18 tỷ USD) lên các sàn giao dịch chỉ vài giờ trước đợt lao dốc mạnh vào... ...

Thị trường crypto tiếp tục trải qua những biến động đáng chú ý khi bước vào những ngày cuối tuần. Sau giai đoạn tăng trưởng mạnh mẽ trong tháng trước, nhiều đồng coin lớn đang tạm dừng để điều chỉnh và củng cố đà tăng. Trong bối cảnh này, nhà... ...

Giá Celestia (TIA) hiện dao động quanh mức 1,83 USD, giảm hai chữ số trong tuần qua. Dù đã hồi phục khoảng 38% so với mức thấp kỷ lục 1,32 USD vào tháng 6, đồng tiền này vẫn mất tới 70% giá trị trong năm qua và giảm hơn 91%... ...

Coinbase và Glassnode đồng loạt đưa ra triển vọng tích cực cho thị trường tiền điện tử trong quý 3/2025, được thúc đẩy bởi sự cải thiện của các yếu tố kinh tế vĩ mô, tiến bộ vượt bậc trong khung pháp lý tại Hoa Kỳ, và làn sóng chấp... ...

Mặc dù đã tăng tới 58,77% trong tháng qua, Hedera (HBAR) đã xóa sạch toàn bộ lợi nhuận hàng tuần và giảm hơn 8% chỉ trong 24 giờ. Điều này có thể chỉ là một nhịp điều chỉnh thông thường, nhưng các tín hiệu kỹ thuật ngắn hạn và vùng... ...

Một liên minh gồm các hiệp hội đại diện cho ngành công nghiệp tiền điện tử, công nghệ tài chính, bán lẻ và nhà hàng đang kêu gọi Tổng thống Donald Trump bảo vệ các quy định ngân hàng mở (open banking) đang bị tấn công pháp lý bởi những... ...

Ethereum (ETH) tiến sát mốc kháng cự $3.780 trong phiên giao dịch thứ Năm, nhờ cú hích từ công bố của BitMine (BMNR) – công ty chuyên quản lý ngân quỹ tiền điện tử – rằng họ đã nâng tổng lượng ETH nắm giữ lên hơn 560.000 đồng chỉ trong... ...

Hơn nửa tỷ đô la vị thế Long đã bị thanh lý trên thị trường tiền điện tử vào thứ Sáu, sau khi giá Bitcoin giảm xuống dưới mốc 116.000 đô la giữa làn sóng điều chỉnh lan rộng trên toàn thị trường. Theo dữ liệu từ CoinGlass, tổng giá... ...

Thông thường, những đợt tăng giá mạnh sẽ đi kèm với điều chỉnh sâu, và Cardano (ADA) cũng không ngoại lệ. Các đợt giảm này thường loại bỏ nhà đầu tư yếu trước khi xu hướng tăng tiếp tục. Vậy liệu ADA đã tạo đỉnh ngắn hạn hay đây là... ...

Công ty Strategy được cho là đã nâng quy mô chào bán cổ phiếu ưu đãi từ 500 triệu USD lên 2 tỷ USD nhằm tiếp tục huy động vốn cho các thương vụ mua Bitcoin bổ sung. Theo Bloomberg, cổ phiếu ưu đãi loại A, kỳ hạn vĩnh viễn, có... ...

Xem thêm bài viết

Chọn chế độ hiển thị:
Bình thường Bảo vệ mắt Dark Mode