Odaily Planet Daily LambdaClass recently disclosed a serious security vulnerability in the proof generation process of the Zero Knowledge Proof infrastructure company Succinct SP1 ZKVM, and subsequently underwent strict review. The vulnerability in SP1 version 3 was discovered in cooperation with 3Mi Labs and Aligned, stemming from the interaction of two independent security vulnerabilities.
Succinct previously disclosed this potential vulnerability to its users via Github and Telegram. Although the vulnerability was quickly resolved before disclosure, this process raised concerns about the transparency of security practices in Zero Knowledge Virtual Machine (ZKVM). The technology of SP1 is currently supporting the upgrade of the developing rollup infrastructure:
-Mantle Network SP1 entegrasyonuyla ZK geçerlilik rollup'a geçiş yapıyor, işlem süresini kısaltmayı ve kurumsal varlık uzlaşmasını desteklemeyi amaçlıyor;
-AggLayer, SP1 kullanarak pessimistik bir kanıt oluşturarak, çapraz zincir etkileşim çözümünün güvenliğini sağlar;
Taiko, L2 yürütmesinde çoklu kanıtlayıcı sistem kullananlara karşı koruma sağlamak için SP1'i ZK kanıtlayıcısı olarak benimsemiştir.
-Soon, göreceli olarak yeni bir proje olup, SP1 tarafından desteklenen ZK-SNARK'ları kullanarak Ethereum'a hesaplanan bir SVM rollup çerçevesi inşa etmektedir, bunun Eclipse'e benzer bir yapı olduğu, Eclipse'in ise RISC Zero kullandığı.
LambdaClass uyarıyor ki, bu açığın tüm etkilerinin daha fazla değerlendirilmesi gerekiyor. Dikkat edilmesi gereken nokta, açık sömürüsünün, iki sorun arasındaki etkileşime bağlı olmasıdır, bu da bir sorunun düzeltilmesinin açık sömürüsünü engellemek için yetersiz olabileceği anlamına gelir.
LambdaClass geliştiricisi Fede, takımının Succinct konusunda acil bir sorun olmadığını fark ettikten sonra, bu sorunu açıklamak zorunda hissettiğini sosyal medyada vurguladı.
Avail'in Anurag Arjun'u, Succinct'in bu sorunu gidermek için sorumlu bir şekilde hareket ettiğini ancak daha iyi bir açıklama pratiğine ihtiyaç duyulduğunu belirtti. Arjun, ekibinin bu sorunu halka açıklamadan önce özel olarak öğrendiğini doğruladı. Avail'in dağıtımı, Succinct'in lisans durumunda olduğu özel bir kanıtlayıcıya güvendikleri için bir riskle karşılaşmadı. Avail'in rollup istemcisi, SP1 tarafından desteklenen köprü sözleşmelerini henüz kullanmaya başlamadığı için gerçek bir etkisi olmadı.
Aynı zamanda, Succinct destekçileri, sorumlu açıklamanın genellikle gereksiz panik ve potansiyel istismardan kaçınmak için açık beyanat öncesinde özel bildirimler yapmayı içerdiğini belirtti.
Ayrıca, Succinct'in SP1 güncelleme sürümü 4 (Turbo olarak adlandırılır) bulunan hataları giderdi ve downstream projeler bu düzeltmeleri entegre etmeye başladı. (Blockworks)
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Succinct, potansiyel bir güvenlik açığı ortaya çıktıktan sonra SP1'i açıklayarak, eleştirmenler süreçte şeffaflığın eksik olduğunu belirttiler.
Odaily Planet Daily LambdaClass recently disclosed a serious security vulnerability in the proof generation process of the Zero Knowledge Proof infrastructure company Succinct SP1 ZKVM, and subsequently underwent strict review. The vulnerability in SP1 version 3 was discovered in cooperation with 3Mi Labs and Aligned, stemming from the interaction of two independent security vulnerabilities. Succinct previously disclosed this potential vulnerability to its users via Github and Telegram. Although the vulnerability was quickly resolved before disclosure, this process raised concerns about the transparency of security practices in Zero Knowledge Virtual Machine (ZKVM). The technology of SP1 is currently supporting the upgrade of the developing rollup infrastructure: -Mantle Network SP1 entegrasyonuyla ZK geçerlilik rollup'a geçiş yapıyor, işlem süresini kısaltmayı ve kurumsal varlık uzlaşmasını desteklemeyi amaçlıyor; -AggLayer, SP1 kullanarak pessimistik bir kanıt oluşturarak, çapraz zincir etkileşim çözümünün güvenliğini sağlar;