Odaily星球日報訊 LambdaClass 近日披露了零知識證明基礎設施公司Succinct SP1 ZKVM 證明生成過程中的一個嚴重安全漏洞,此後其受到了嚴格審查。 SP1 版本3 中的漏洞是與3Mi Labs 和Aligned 合作發現的,源於兩個獨立安全漏洞的相互作用。 Succinct 此前通過Github 和Telegram 向其用戶披露了這一潛在漏洞。雖然該漏洞在披露之前很快得到解決,但這一過程引發了人們對零知識虛擬機(ZKVM)安全實踐透明度的擔憂。 SP1 的技術目前正在支持開發中的rollup 基礎設施的升級: -Mantle Network 已集成SP1 以過渡到ZK 有效性rollup,旨在縮短交易完成時間並支持機構級資產結算; -AggLayer 使用SP1 生成pessimistic 證明,確保其跨鏈互操作性解決方案的安全性; -Taiko 已採用SP1 作為ZK 證明器來保護其使用多證明器系統的L2 執行; -Soon 是一個相對較新的項目,正在構建一個SVM rollup 框架,該框架使用由SP1 提供支持的ZK 故障證明來結算到以太坊,類似於Eclipse,後者使用的是RISC Zero。 LambdaClass 警告稱,該漏洞的全部影響需要進一步評估。值得注意的是,漏洞利用取決於兩個問題之間的相互作用,這意味著修復一個問題可能不足以阻止漏洞利用。 LambdaClass 開發人員Fede 在社交媒體上強調,他的團隊在察覺到Succinct 就該問題缺乏緊迫感後,感到有必要公開披露該問題。 據Avail 的Anurag Arjun 稱,Succinct 領導層在修復該問題方面採取了負責任的行動,但他同意需要更好的公開披露做法。 Arjun 證實,其團隊在漏洞公開披露之前已私下獲悉此問題。 Avail 的部署沒有面臨風險,因為他們依賴Succinct 的專有證明器,該證明器仍處於許可狀態。 Avail 的rollup 客戶端尚未開始使用其SP1 驅動的橋接合約,因此沒有實際影響。 與此同時,Succinct 的支持者指出,負責任的披露通常涉及在公開聲明之前進行私下報告,以避免不必要的恐慌和潛在的利用。 此外,Succinct 的SP1 更新版本4(稱為Turbo)解決了已發現的漏洞,下游項目已開始集成這些修復程序。 (Blockworks)
dark