Odaily Planet Tin tức hàng ngày LambdaClass gần đây đã tiết lộ một lỗ hổng bảo mật nghiêm trọng trong quy trình tạo bằng chứng ZKVM của công ty cơ sở hạ tầng chứng minh không có kiến thức Succinct SP1, từ đó đã được giám sát chặt chẽ. Lỗ hổng trong SP1 phiên bản 3 được phát hiện với sự hợp tác của 3Mi Labs và Aligned và là kết quả của sự tương tác của hai lỗ hổng bảo mật độc lập.
Succinct trước đây đã tiết lộ lỗ hổng tiềm ẩn cho người dùng thông qua Github và Telegram. Mặc dù lỗ hổng này đã nhanh chóng được giải quyết trước khi bị tiết lộ, nhưng quá trình này đã làm dấy lên mối lo ngại về tính minh bạch của các biện pháp bảo mật máy ảo không kiến thức (ZKVM). Công nghệ SP1 hiện đang hỗ trợ nâng cấp cơ sở hạ tầng tổng hợp đang được phát triển:
-Mantle Network đã tích hợp SP1 để chuyển sang tổng hợp hiệu lực ZK, được thiết kế để giảm thời gian hoàn thành giao dịch và hỗ trợ thanh toán tài sản cấp tổ chức;
-AggLayer sử dụng SP1 để tạo ra các bằng chứng bi quan nhằm đảm bảo tính bảo mật cho giải pháp tương tác chuỗi chéo của nó;
-Taiko đã sử dụng SP1 làm bộ chứng minh ZK để bảo vệ việc thực thi L2 của mình bằng hệ thống nhiều chứng chỉ;
-Soon là một dự án tương đối mới đang xây dựng khung tổng hợp SVM sử dụng bằng chứng lỗi ZK do SP1 cung cấp để chuyển sang Ethereum, tương tự như Eclipse, sử dụng RISC Zero.
LambdaClass cảnh báo rằng tác động đầy đủ của lỗ hổng này cần được đánh giá thêm. Cần lưu ý rằng việc khai thác phụ thuộc vào sự tương tác giữa hai vấn đề, nghĩa là việc khắc phục một vấn đề có thể không đủ để ngăn chặn việc khai thác.
Nhà phát triển Fede của LambdaClass nhấn mạnh trên mạng xã hội rằng nhóm của ông cảm thấy cần phải tiết lộ công khai vấn đề sau khi cảm nhận được sự thiếu khẩn cấp của Succinct liên quan đến vấn đề này.
Theo Anurag Arjun của Avail, ban lãnh đạo Succinct đã hành động có trách nhiệm trong việc khắc phục vấn đề, nhưng ông đồng ý rằng cần có các biện pháp công bố thông tin công khai tốt hơn. Arjun xác nhận rằng nhóm của anh ấy đã được thông báo riêng về vấn đề này trước khi lỗ hổng này được tiết lộ công khai. Việc triển khai của Avail không gặp rủi ro vì họ dựa vào người chứng thực độc quyền của Succinct, vẫn được cấp phép. Ứng dụng khách tổng hợp của Avail vẫn chưa bắt đầu sử dụng hợp đồng cầu nối dựa trên SP1 nên không có tác động thực sự.
Trong khi đó, những người ủng hộ ngắn gọn chỉ ra rằng việc tiết lộ có trách nhiệm thường liên quan đến việc báo cáo riêng tư trước các tuyên bố công khai để tránh cảnh báo không cần thiết và khả năng bị lợi dụng.
Ngoài ra, bản cập nhật SP1 phiên bản 4 của Succinct, được gọi là Turbo, giải quyết các lỗ hổng được phát hiện và các dự án hạ nguồn đã bắt đầu tích hợp các bản sửa lỗi. (Khối khối)