最新研究揭露區塊鏈技術中的重大弱點。倫敦帝國學院的研究人員發現,電路層漏洞對基於 SNARK 的系統構成最大威脅。
該團隊審查了 141 項漏洞,來源包括 107 份審計報告、16 項漏洞揭露,以及各種漏洞追蹤器。研究結果於 8 月 7 日在哥倫比亞大學發表。
SNARK 是一種零知識證明,允許用戶在不透露任何資訊的情況下證明某事。這項技術對許多區塊鏈應用至關重要。
帝國學院博士生 Stefanos Chaliasos 識別出三種主要漏洞:受限不足、受限過多,以及計算/提示錯誤。Chaliasos 直言:
「多數漏洞位於電路層,多數也屬於正確性問題。這是在使用零知識證明時最嚴重的情況,因為在 ZK-rollup 的情境下,如果出現這種漏洞且有人想利用,所有資金都可能被從電路層洗劫一空。」
研究發現,有 95 個問題影響正確性、4 個影響完備性,這些都是 SNARK 系統的關鍵屬性。
開發者面臨嚴峻挑戰,需適應不同抽象層級並優化電路以提升效率,這會直接影響 SNARK 的成本。
研究人員提出多個漏洞根本原因,包括區分賦值與約束、缺少輸入約束,以及電路的不安全重複使用。
相關進展方面,Aptos 團隊發表了新的加權隨機函數(weighted VRF)機制,旨在強化共識過程中的隨機性,這對區塊鏈安全具有重大意義。
Aptos 已於 6 月在主網部署此機制。Aptos 密碼學主管 Alin Tomescu 表示:「據我們所知,這是首次出現既無法被操控、又不可預測、執行速度與網路同步的腳本。」
該系統已處理五十萬次呼叫。分散式金鑰產生約需 20 秒。Tomescu 補充:「我們的隨機性延遲,從區塊提交到該區塊隨機值可用,最初為 160 毫秒,但經過優化後降至 25 毫秒。」
這些進展凸顯區塊鏈技術持續面臨的挑戰與創新。隨著加密世界發展,研究人員與開發者正競速守住潛在漏洞安全防線。牽涉的資金龐大,去中心化金融的未來也因此懸而未決。雖然 SNARK 系統帶來強大功能,這份研究仍為業界敲響警鐘:安全必須始終置於區塊鏈開發的首位,否則將動搖系統建立信任的根本。