一項新研究揭示了區塊鏈技術的一個重大弱點。倫敦帝國學院的研究人員發現,電路層漏洞對SNARK為基礎系統構成最大威脅。
研究團隊檢視了141個漏洞,涵蓋107份審計報告、16個漏洞公開,及多個錯誤追蹤紀錄。研究結果於8月7日在哥倫比亞大學發表。
SNARK是零知識證明的一種,讓用戶無需透露資訊即可證明某件事。此技術對許多區塊鏈應用尤為重要。
帝國學院博士生Stefanos Chaliasos指明了三大類主要漏洞,包括限制不足、限制過多,以及計算/提示錯誤。Chaliasos直言不諱:
「大部分漏洞都在電路層,而且主要屬於健全性問題。這對ZKP來說是最嚴重的,因為假如在ZK-rollup中出現這類漏洞,又有人利用,所有資金都可能被從電路層盜走。」
研究發現有95項問題影響系統健全性,4項影響完整性,這些都是SNARK系統的關鍵屬性。
對開發人員來說,挑戰相當艱巨。他們需要適應不同的抽象層次,並優化電路以提升效能,這直接影響SNARK的運作成本。
研究人員指出,這些漏洞的根本原因包括任務與限制的區分不明、缺失輸入限制,以及電路的不安全重用等。
相關進展方面,Aptos團隊提出了新的加權VRF機制,旨在提升共識流程中的隨機性,對區塊鏈安全作用重大。
Aptos已於6月在主網上部署此機制。Aptos密碼學負責人Alin Tomescu說:「據我們所知,這是首次出現不可操控、不預測且運作速度與網絡同步的細緻腳本。」
系統現時已處理五十萬筆呼叫。分散式密鑰生成過程約需20秒。Tomescu補充:「我們的隨機延遲,從區塊提交至對應隨機數可用,最初是160毫秒,但經優化後已降至25毫秒。」
這些發展突顯區塊鏈技術持續面對的挑戰與創新。隨著加密世界演變,研究人員和開發者正爭分奪秒,防範潛在漏洞。涉及的利益關乎數百萬美元,甚至去中心化金融的未來。雖然SNARK系統提供強大功能,但此研究亦警示行業:安全必須優先,否則區塊鏈的信任基礎將岌岌可危。