最新研究揭示了區塊鏈技術的一個重大弱點。倫敦帝國學院的研究人員發現,電路層漏洞對 SNARK 系統構成最大的威脅。
團隊檢視了 141 個漏洞,這些數據來自 107 份審計報告、16 次漏洞公開和各種漏洞追蹤系統。相關發現於 8 月 7 日在哥倫比亞大學發表。
SNARK 是一種零知識證明技術,允許用戶在不暴露資訊的情況下證明某件事。此技術對許多區塊鏈應用至關重要。
帝國學院博士生 Stefanos Chaliasos 辨識出三種主要漏洞類型,分別是約束不足、約束過多,以及計算/提示錯誤。他直言:
「大多數漏洞都存在於電路層,而且大多數都屬於正確性響應型漏洞。這對於使用 ZKP 的情境來說,非常危險,因為在 ZK-rollup 背景下,一旦出現這類錯誤,有心人士可以將所有資金從電路層抽走。」
研究中發現有 95 個問題影響正確性,另有 4 個影響完備性。這些都是 SNARK 系統的關鍵屬性。
開發者面臨艱鉅挑戰,不僅要適應不同層次的抽象,還要優化電路以提升效率。這直接影響到 SNARK 的使用成本。
研究人員辨認出幾個漏洞根本原因,包括區分作業與約束、輸入約束遺漏,以及不安全的電路重複使用。
在相關發展方面,Aptos 團隊提出了新型加權 VRF 機制,以提升共識過程的隨機性。這對區塊鏈安全意義重大。
Aptos 已於 6 月將此機制部署到主網。Aptos 密碼學負責人 Alin Tomescu 表示:「就目前所知,這是首度出現無法被操縱、不可預測且運作速度與網路同步的細緻腳本。」
此系統已處理 50 萬次呼叫。分散式金鑰產生約需 20 秒。Tomescu 補充:「我們隨機性的延遲,從區塊提交到該區塊隨機值產生,以前需 160 毫秒,現已透過優化降到 25 毫秒。」
這些發展突顯區塊鏈技術持續面臨的新挑戰與創新。隨著加密世界快速演進,研究人員與開發者正競相超前潛在威脅。涉及資金高達數百萬美元,去中心化金融的未來亦因此而懸。雖然 SNARK 系統帶來強大功能,但本研究也提醒產業:唯有將安全擺在區塊鏈發展最優先,才能守護這些系統的信任基石。