Une nouvelle étude a révélé un point faible majeur dans la technologie blockchain. Les chercheurs de l'Imperial College London ont découvert que les vulnérabilités de la couche de circuit représentent la plus grande menace pour les systèmes basés sur SNARK.
L'équipe a examiné 141 vulnérabilités. Celles-ci proviennent de 107 rapports d'audit, 16 divulgations de vulnérabilité et divers trackers de bugs. Les résultats ont été présentés le 7 août à l'université de Columbia.
Les SNARK sont un type de preuve à divulgation nulle de connaissance. Ils permettent aux utilisateurs de prouver quelque chose sans révéler aucune information à ce sujet. Cette technologie est cruciale pour de nombreuses applications blockchain.
Stefanos Chaliasos, candidat au doctorat à l'Imperial, a identifié trois principaux types de vulnérabilités. Ce sont les erreurs sous-contraintes, sur-contraintes et de calcul/indices. Chaliasos n'a pas mâché ses mots :
"La majorité des vulnérabilités se trouvent dans la couche de circuit, et la majorité est également liée à la réponse de la solidité, ce qui est la pire des choses qui puisse arriver lorsque vous utilisez des Zkps parce que, fondamentalement, dans le contexte d'un ZK-rollup, s'il y a un tel bug et que quelqu'un veut l'exploiter, alors tous les fonds pourraient être vidés de la couche de circuit."
L'étude a trouvé 95 problèmes affectant la solidité et quatre affectant la complétude. Ce sont des propriétés critiques des systèmes SNARK.
Les développeurs font face à un défi de taille. Ils doivent s'adapter à un niveau différent d'abstraction et optimiser les circuits pour l'efficacité. Cela a un impact direct sur le coût d'utilisation des SNARK.
Les chercheurs ont identifié plusieurs causes principales de ces vulnérabilités. Celles-ci incluent la distinction entre les affectations et les contraintes, les contraintes d'entrée manquantes et la réutilisation non sécurisée des circuits.
Dans un développement connexe, l'équipe d'Aptos a présenté leur nouveau mécanisme VRF pondéré. Cela vise à améliorer l'aléatoire dans le processus de consensus. C'est une grande nouvelle pour la sécurité blockchain.
Aptos a déployé ce mécanisme sur leur mainnet en juin. Alin Tomescu, responsable de la cryptographie chez Aptos, a déclaré : "Autant que vous puissiez le dire, c'est la première fois que vous voyez un script granulaire précédent qui est impartial, imprévisible et fonctionne aussi vite que le réseau."
Le système a déjà traité un demi-million d'appels. La génération de clé distribuée prend environ 20 secondes. Tomescu a ajouté : "Notre latence d'aléatoire, qui est la latence mesurée à partir du moment où un bloc est engagé jusqu'au moment où l'aléatoire pour ce bloc est disponible, était initialement de 160 millisecondes. Mais nous avons pu réduire cela à 25 millisecondes grâce à quelques optimisations."
Ces développements soulignent les défis et les innovations continus dans la technologie blockchain. Alors que le monde de la crypto évolue, les chercheurs et les développeurs s'efforcent de rester en avance sur les vulnérabilités potentielles. Les enjeux sont élevés, avec des millions de dollars et l'avenir de la finance décentralisée en jeu. Bien que les systèmes SNARK offrent des capacités puissantes, cette étude sert de signal d'alarme à l'industrie : la sécurité doit rester au premier plan du développement de la blockchain, sinon nous risquons de saper les fondements mêmes de la confiance sur lesquels ces systèmes sont construits.