一項新研究發現了區塊鏈技術中的一個重大弱點。倫敦帝國學院的研究人員指出,電路層漏洞對基於 SNARK 的系統構成最大威脅。
團隊審查了 141 個漏洞,來源包括 107 份審計報告、16 項漏洞揭露及多個錯誤追蹤器。研究成果於 8 月 7 日在哥倫比亞大學發表。
SNARK 屬零知識證明技術,允許用戶在不洩漏任何資訊下證明某件事。這項技術對不少區塊鏈應用來說至關重要。
帝國學院博士生 Stefanos Chaliasos 確認 3 種主要漏洞類型,分別是約束不足、約束過多及計算/指示錯誤。他直言:
「大多數漏洞都出現在電路層,主因是聲明響應問題。這是使用零知識證明時最嚴重的情況,因為在 ZK-rollup 場景下,若此類漏洞被利用,所有資金可能會被電路層抽走。」
研究識別出 95 個影響可靠性的問題及 4 個影響完備性的問題,這些都是 SNARK 系統的關鍵屬性。
開發人員面對極大挑戰,既要適應不同抽象層,亦需優化電路以提升效率,這直接影響 SNARK 應用成本。
研究人員亦分析了多個漏洞的根本原因,包括分不清賦值與約束、輸入約束缺漏,以及電路不當重用等。
另外,Aptos 團隊發表了全新加權 VRF 機制,目標是提升共識過程裡的隨機性,對區塊鏈安全影響深遠。
Aptos 已於 6 月將此機制部署到主網。Aptos 密碼學主管 Alin Tomescu 表示:「據我們了解,這應該是首次出現既無法被操控、亦無法預測,同時運作速度與網絡一致的細緻腳本。」
系統現已處理逾 50 萬次呼叫。分布式金鑰生成約需 20 秒。Tomescu 補充:「我們的隨機性延遲,即區塊被確認到隨機性可用之間的時間,最初為 160 毫秒,但透過優化已降至 25 毫秒。」
這些進展反映區塊鏈技術持續面對挑戰及創新。隨着加密世界發展,研究人員與開發者必須不斷搶先發現潛在漏洞。因為牽涉的不是數百萬元,而是去中心化金融的未來。SNARK 系統雖然功能強大,但這項研究正是為業界敲響警鐘:安全性必須一直是區塊鏈開發首要考慮,否則將削弱這些系統賴以建立信任的根基。