Succinct после раскрытия потенциальных уязвимостей SP1 выпустил исправленную версию, критики считают, что процесс коммуникации был недостаточно прозрачным.

robot
Генерация тезисов в процессе

LambdaClass попал под пристальное внимание после того, как обнаружил критический недостаток безопасности в создании инфраструктуры с доказательством нулевого разглашения Succinct SP1 ZKVM. Уязвимость в SP1 версии 3 была обнаружена в сотрудничестве с 3Mi Labs и Aligned и связана с взаимодействием двух отдельных уязвимостей безопасности. Succinct ранее раскрыл эту потенциальную уязвимость своим пользователям через Github и Telegram. Хотя уязвимость была быстро устранена до её раскрытия, этот процесс вызвал беспокойство у людей относительно прозрачности практик безопасности в нулевой знании виртуальной машине (ZKVM). Технология SP1 в настоящее время поддерживает обновление инфраструктуры rollup в разработке: -Mantle Network уже интегрировал SP1 для перехода к ZK доказательству корректности rollup, с целью сокращения времени завершения транзакций и поддержки расчетов активов на уровне институтов;

  • AggLayer использует SP1 для создания пессимистического доказательства, чтобы гарантировать безопасность своего решения межцепочечной интероперабельности; -Taiko уже использовал SP1 в качестве доказательства ZK для защиты выполнения L2 с использованием множественных доказателей. Soon - это относительно новый проект, который строит фреймворк SVM rollup, использующий ZK доказательства отказа, поддерживаемые SP1, для расчетов на Ethereum, аналогично Eclipse, где используется RISC Zero. LambdaClass предупреждает, что полный эффект этой уязвимости требует дальнейшей оценки. Следует отметить, что эксплуатация уязвимости зависит от взаимодействия двух проблем, что означает, что исправление одной проблемы может быть недостаточным для предотвращения эксплуатации уязвимости. Разработчик LambdaClass Fede подчеркнул на социальных медиа, что его команда почувствовала необходимость обнародовать эту проблему, когда они обнаружили, что Succinct не проявляет должной срочности. По словам Anurag Arjun из Avail, руководство Succinct приняло ответственные меры по устранению проблемы, но он согласен, что нужно улучшить практику публичной открытости. Арджун подтвердил, что его команда узнала о проблеме конфиденциально до ее публичного раскрытия. Развертывание Avail не подвергалось риску, поскольку они полагались на собственный аппаратный доказательный механизм Succinct, который все еще находится в лицензионном состоянии. Клиентский роллап Avail еще не начал использовать свои мостовые контракты, управляемые SP1, поэтому это не оказало реального влияния. Тем не менее, сторонники Succinct указывают, что ответственное раскрытие обычно включает в себя предварительное сообщение в частном порядке до публичного заявления, чтобы избежать ненужной паники и потенциальной эксплуатации. Кроме того, версия SP1 обновления 4 (называемая Turbo) Succinct решает обнаруженные уязвимости, и эти исправления начали интегрироваться в проекты нижестоящего уровня. (Blockworks)
Посмотреть Оригинал
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
  • Награда
  • комментарий
  • Поделиться
комментарий
0/400
Нет комментариев
  • Закрепить