DeFi projelerinin sıfır bilgi ispatı (ZK) teknolojisi üzerine yapılan denetimlerinde, genel durumlara göre iki kat daha fazla kritik hata tespit edildi. Bu durum, Veridise’in raporuna atıfta bulunan The Block tarafından bildirildi.
Veridise uzmanları, 100 denetimde ortaya çıkan 1605 güvenlik açığını analiz etti. Denetim başına ortalama 16 sorun bulunurken, ZK projelerinde bu sayı biraz daha yüksek, 18 hata olarak belirlendi. Ancak, kritik güvenlik açıkları açısından, ZK projelerinin %55’i (20’de 11) bu tür sorunları içerirken, diğer denetimlerde bu oran %27,5 (80’de 22) olarak kaydedildi.
Uzmanlara göre, ZK çözümlerinin güvenliği, karmaşık kriptografik yapılar ve protokollerin yenilikçi doğası nedeniyle “daha zor” olmaktadır.
“ZK şeması geliştirmek, tanık üreteçlerinde işlemlerin anlamını doğru bir şekilde gerekçelendirmeyi gerektirir. Bu yapılar sınırlamalar nedeniyle yanlış kodlandığında hatalar meydana gelir. Bu [şemalarda] daha fazla hata olması mantıklıdır, çünkü tipik programlama paradigmasından büyük ölçüde farklıdırlar,” diye açıklamada bulundu Veridise’in kurucu ortağı ve CEO’su John Stevens.
Genel olarak, denetimlerde en yaygın olarak tespit edilen güvenlik açıkları, mantıksal hatalar (385), bakım kolaylığı (355) ve veri doğrulaması (304) oldu. Bu kategoriler, tüm tespit edilen sorunların %65’ini oluşturdu.
Veridise, bakım kolaylığının eksikliğinin, katı anlamda güvenlik açıkları ile ilgili olmadığını belirtti. Ancak kötü kod yazma uygulamaları, “kritik güvenlik açıkları yaratmaya bir adım” uzaklıkta, diye vurguladı ekip.
ZK protokolleri için spesifik bir sorun, “yeterince kısıtlanmamış konturlar” oldu, bu da %90 olasılıkla ciddi bir hataya yol açtı.
“[…] aritmetik şemanın kısıtlamaları, bazı hesaplamaların doğru yapıldığını doğrulamak için gerekli tüm koşulları yeterince sağlamadığında ortaya çıkar. Bu tür sorunlar, geleneksel akıllı sözleşmelerde görülmez,” diye belirtti firma. Bu, kötü niyetli bir kişinin, doğrulayıcıyı yanlış bir iddiayı doğru olarak kabul etmesi için kandırmasına olanak tanıyan bir ispat oluşturabileceği anlamına gelir, bu da protokolün bütünlüğünü ciddi şekilde zedeler.
Hatırlatmak gerekirse, ForkLog, 2024 yılında ZK protokollerinin gelişimi hakkında özel bir makale yayımlamıştı.