Een nieuwe studie heeft een grote zwakke plek in blockchaintechnologie blootgelegd. Onderzoekers van Imperial College London hebben ontdekt dat kwetsbaarheden in de circuitlaag de grootste bedreiging vormen voor SNARK-gebaseerde systemen.
Het team onderzocht 141 kwetsbaarheden. Deze kwamen uit 107 auditrapporten, 16 kwetsbaarheidsmeldingen en verschillende bugtrackers. De bevindingen werden op 7 augustus gepresenteerd aan de Columbia University.
SNARKs zijn een soort zero-knowledge proof. Ze stellen gebruikers in staat iets te bewijzen zonder enige informatie daarover prijs te geven. Deze technologie is cruciaal voor veel blockchain-toepassingen.
Stefanos Chaliasos, een promovendi aan Imperial, identificeerde drie hoofdtypen kwetsbaarheden. Dit zijn onder-geconstrueerde, over-geconstrueerde en computationele/hintfouten. Chaliasos was ondubbelzinnig:
"De meerderheid van kwetsbaarheden bevindt zich in de circuitlaag, en het merendeel is ook een soundness-kwestie, wat het ergste is dat kan gebeuren wanneer je Zkps gebruikt, want in de context van een ZK-rollup, als er zo’n bug is en iemand die wil uitbuiten, dan zouden alle fondsen uit de circuitlaag kunnen worden leeggetrokken."
De studie ontdekte 95 problemen die de soundness beïnvloeden en vier die de volledigheid beïnvloeden. Dit zijn kritieke eigenschappen van SNARK-systemen.
Ontwikkelaars staan voor een moeilijke uitdaging. Ze moeten zich aanpassen aan een ander abstractieniveau en circuits optimaliseren voor efficiëntie. Dit heeft direct invloed op de kosten van het gebruik van SNARKs.
De onderzoekers identificeerden verschillende oorzaken voor deze kwetsbaarheden. Deze omvatten het onderscheiden tussen toewijzingen en beperkingen, het ontbreken van invoerbeperkingen en onveilige hergebruik van circuits.
In een gerelateerd nieuws, heeft het Aptos-team hun nieuwe gewogen VRF-mechanisme gepresenteerd. Dit is bedoeld om de willekeurigheid in het consensusproces te vergroten. Het is een grote stap voor blockchainbeveiliging.
Aptos implementeerde dit mechanisme in juni op hun mainnet. Alin Tomescu, hoofd cryptografie bij Aptos, pochte: "Voor zover je kunt zien, is dit de eerste keer dat je een voorheen granulaire script ziet dat onbeïnvloedbaar, onvoorspelbaar is en net zo snel als het netwerk werkt."
Het systeem heeft al een half miljoen oproepen verwerkt. Het genereren van verdeelde sleutels duurt ongeveer 20 seconden. Tomescu voegde toe: "Onze willekeurigheidslatentie, dat is de latentie gemeten vanaf het moment dat een blok wordt toegekend tot het moment dat de willekeurigheid voor dat blok beschikbaar is, was aanvankelijk 160 milliseconden. Maar we konden dit met enkele optimalisaties terugbrengen tot 25 milliseconden."
Deze ontwikkelingen benadrukken de voortdurende uitdagingen en innovaties in blockchaintechnologie. Terwijl de cryptowereld evolueert, racen onderzoekers en ontwikkelaars om potentiële kwetsbaarheden voor te blijven. De belangen zijn hoog, met miljoenen dollars en de toekomst van gedecentraliseerde financiële markten die op het spel staan. Hoewel SNARK-systemen krachtige mogelijkheden bieden, dient deze studie als een wake-up call voor de industrie: beveiliging moet voorop blijven staan in de blockchainontwikkeling, anders riskeren we de fundamenten van vertrouwen waar deze systemen op zijn gebouwd te ondermijnen.