Blockchain 보안 기업 Veridise는 ZK 감사가 중요한 문제를 발견할 가능성이 두 배 높다고 발견했습니다.

블록이 보고했습니다: Veridise는 ZK 프로젝트의 보안 감사에서 다른 감사 유형보다 위험 요소가 두 배 더 발견될 가능성이 있다고 보고했습니다.
해당 기업의 ZK 감사의 55%에는 중요한 문제가 있었으며 다른 DeFi 감사의 27.5%와 비교했을 때 해당 비율이 높습니다.

블록체인 보안 기업 Veridise는 제로 지식 프로젝트의 감사가 다른 감사 유형보다 위험 요소를 두 배 더 발견할 가능성이 있다고 보고되었습니다.

최근 100개의 감사에서 발견된 1,605개의 취약점 결과를 분석한 결과, Veridise는 각각의 감사당 평균 약 16개의 문제를 발견하였으며 ZK 감사 평균은 18개로 약간 높았습니다.

그러나 중요한 취약점에 초점을 맞추면, Veridise는 자체의 다른 감사(스마트 계약, 지갑 통합, 블록체인 구현 및 릴레이어 포함)에서 55% (20개 중 11개)의 ZK 감사가 중요한 문제를 포함하고 있음을 발견했습니다. 이에 대비해 다른 감사 중 27.5% (80개 중 22개)가 중요한 문제를 포함하고 있었습니다.

ZK 프로토콜은 블록체인 거래의 개인 정보 보호와 확장성을 향상시킬 수 있는 잠재력으로 인해 암호화 공간에서 주목을 받고 있습니다. 이는 한 당사자가 다른 당사자에게 진술이 참임을 증명하면서 진술 자체의 유효성 이상의 정보를 노출하지 않도록 하는 기능을 제공합니다.

그러나 ZK 보안은 Veridise에 따르면 "단순히 더 어렵습니다." 이는 복잡한 암호학적 구성 요소와 ZK 프로토콜의 혁신적인 성격으로 인해 감사가 기존의 암호기술의 한계를 넘어가는 경우가 많아서 중요한 취약점이 더 많이 발견되었습니다.

“ZK 회로를 개발하려면 증명 생성기 내의 연산의 의미에 대해 정확한 추론이 필요합니다.” Veridise CEO이자 공동 창업자인 Jon Stephens가 블록에 말했습니다. “이러한 의미가 제약 조건으로 정확하게 인코딩되지 않으면 버그가 발생합니다. 회로에 더 많은 버그가 있기 때문에 이는 전형적인 프로그래밍 패러다임과는 매우 다릅니다.”

가장 일반적인 DeFi 취약점
전반적으로, Veridise 감사에서 발견된 가장 일반적인 취약점은 논리 오류(385), 유지 관리성(355) 및 데이터 유효성 확인(304)으로, 이는 감사에서 발견된 모든 문제의 65%를 차지합니다. 이 세 가지 문제는 360개의 ZK 감사 특정 취약점 중에서도 우세했습니다.

유지 관리성 문제는 엄격하게 말하면 보안 취약점은 아니지만, 예를 들어 잘못된 코딩 관행으로, 때로는 중요한 버그로 변할 수 있습니다. 팀은 이를 이야기했습니다.

발견된 223개의 심각한(중요한 또는 고 수준) 문제 유형 중에서 가장 많은 문제는 논리 오류(91)와 데이터 유효성 확인(35) 문제가 우세했으며 “부적절한 회로”(19), 서비스 거부(16) 및 액세스 제어(13) 취약점이 그 뒤를 이었습니다. 발견된 취약점 중 78%는 다섯 가지 유형에 상당합니다.

ZK 감사 특정 취약점
심각한 문제는 대부분의 취약점 유형에서 약 10%부터 30%를 차지하지만 “부적절한 회로” 유형은 90%의 확률을...

Veridise에 따르면, 크리티컬이나 고급 수준의 이슈를 포함하는 가능성이 있습니다.

회사는 "언더콘스트레인된 회로는 특히 제로 지식 관련 감사에서 흔한 문제입니다...산술 회로의 제약이 충분히 모든 필요 조건을 강요하지 않아서 일부 계산이 올바르게 수행되었는지 확인하는 데 필요한 조건을 충족시킬 수 없을 때 발생합니다,"라고 설명했습니다. "이는 전통적인 스마트 계약에서는 발생하지 않습니다."

이는 악의적인 당사자가 검증자를 속여 거짓 명제를 참으로 받아들이도록 할 수 있으며, 이는 프로토콜의 무결성을 심각하게 훼손합니다.

Veridise의 감사에서는 제로 지식 기술이 L2 ZK-rollups, ZK-VMs 및 circom 라이브러리와 같은 중요 인프라 프로토콜에서 자주 사용됩니다. Veridise는 이전에 "백만 달러" 규모의 ZK 버그를 식별했습니다. 이러한 프로토콜의 보안은 그 위에 구축된 모든 탈중앙화 애플리케이션에 영향을 미치기 때문에 중요합니다.

기타 이슈 유형을 살펴보면, 논리 오류는 코드가 의도한 기능을 수행하지 못하는 경우를 말합니다. 일반적인 예로는 사용자가 잔액을 초과하는 자금을 인출할 수 있도록 실수로 스마트 계약을 만드는 경우가 있습니다.

데이터 유효성 문제는 데이터가 처리되기 전에 올바르게 검증되지 않아 발생합니다.

서비스 거부 문제는 프로토콜의 정상 작동을 방해하는 공격을 의미합니다. 예를 들어, 스마트 계약이 모든 가능한 가스를 소진하는 공격자를 허용하도록 잘못 설계될 수 있습니다.

사용자들은 제한된 영역이나 기능에 액세스할 수 있습니다.

Veridise는 2018년 이후 블록체인 및 DeFi 플랫폼에서 100억 달러 이상이 해킹되었다고 주장하며, 이러한 취약점의 유형을 더 잘 파악하여 웹3 프로젝트의 주목을 가장 심각한 버그로 유도하고 예방하는 데 도움이 필요하다고 말합니다.