Después de revelar el potencial defecto de SP1, Succinct lanzó una versión de corrección. Los críticos afirman que la comunicación fue poco transparente.

Odaily星球日报讯 LambdaClass recientemente reveló una grave vulnerabilidad de seguridad en el proceso de generación de pruebas de conocimiento cero de la infraestructura de la compañía Succinct SP1 ZKVM, que posteriormente fue sometida a una estricta revisión. La vulnerabilidad en la versión 3 de SP1 fue descubierta en colaboración con 3Mi Labs y Aligned, y se originó en la interacción de dos vulnerabilidades de seguridad independientes. Succinct previously disclosed this potential vulnerability to its users through Github and Telegram. Although the vulnerability was quickly resolved before disclosure, this process raised concerns about the transparency of security practices for Zero-Knowledge Virtual Machine (ZKVM). The SP1 technology is currently supporting the upgrade of the developing rollup infrastructure. La red Mantle ha integrado SP1 para hacer la transición a ZK rollup de validez, con el objetivo de acortar el tiempo de finalización de las transacciones y admitir la liquidación de activos a nivel institucional;

• AggLayer utiliza SP1 para generar pruebas pesimistas y garantizar la seguridad de su solución de interoperabilidad entre cadenas. -Taiko ha adoptado SP1 como el verificador de prueba de conocimiento cero (zk-SNARKs) para proteger su ejecución en L2 que utiliza un sistema de múltiples verificadores; -Soon es un proyecto relativamente nuevo que está construyendo un marco SVM rollup que liquida en Ethereum utilizando pruebas de fallos ZK respaldadas por SP1, similar a Eclipse que utiliza RISC Zero. LambdaClass advierte que el impacto total de esta vulnerabilidad requiere una evaluación adicional. Es importante tener en cuenta que la explotación de la vulnerabilidad depende de la interacción entre dos problemas, lo que significa que solucionar un problema puede no ser suficiente para detener la explotación de la vulnerabilidad. El desarrollador de LambdaClass, Fede, enfatizó en las redes sociales que su equipo sintió la necesidad de hacer pública la falta de urgencia en abordar el problema una vez que se dieron cuenta de que había un problema con Succinct. Según Anurag Arjun de Avail, el equipo directivo de Succinct ha tomado medidas responsables para solucionar este problema, pero está de acuerdo en que se necesita una mejor divulgación pública. Arjun confirmó que su equipo ya había conocido este problema antes de que se hiciera público. La implementación de Avail no ha corrido riesgos porque dependen de un verificador de pruebas propietario de Succinct, que aún está bajo licencia. El cliente de rollup de Avail aún no ha comenzado a utilizar su contrato de puente impulsado por SP1, por lo que no tiene un impacto real. Al mismo tiempo, los partidarios de Succinct señalan que la divulgación responsable generalmente implica informar de manera privada antes de hacer una declaración pública, para evitar el pánico innecesario y el posible abuso. Además, la versión actualizada SP1 de Succinct 4 (llamada Turbo) aborda las vulnerabilidades detectadas y los proyectos posteriores han comenzado a integrar estas correcciones. (Blockworks)