zk-SNARKs et considérations de sécurité en combinaison avec Blockchain
zk-SNARKs(ZKP) en tant que technologie cryptographique avancée, s'intègre en profondeur avec la technologie Blockchain. Avec de plus en plus de protocoles Layer 2 et de chaînes publiques spécialisées adoptant ZKP, sa complexité a également apporté de nouveaux défis en matière de sécurité. Cet article examinera, du point de vue de la sécurité, les vulnérabilités potentielles de ZKP dans les applications Blockchain, afin de fournir des références pour la protection de la sécurité des projets connexes.
Les caractéristiques clés des zk-SNARKs
Avant d'analyser la sécurité des systèmes ZKP, nous devons comprendre ses trois caractéristiques essentielles :
Complétude : Pour une déclaration vraie, le prouveur peut toujours réussir à prouver sa véracité au vérificateur.
Fiabilité : En ce qui concerne les déclarations erronées, le prouveur malveillant ne peut pas tromper le vérificateur.
Propriété de non-divulgation : au cours du processus de vérification, le vérificateur ne recevra aucune information sur les données d'origine.
Ces trois caractéristiques sont les pierres angulaires qui garantissent la sécurité et l'efficacité des systèmes ZKP. Si l'une de ces caractéristiques est compromise, cela peut entraîner l'effondrement de la sécurité du système. Par exemple, un manque de complétude peut provoquer des attaques par déni de service ; une fiabilité insuffisante peut être exploitée par des attaquants pour créer de fausses preuves ; une atteinte à la propriété de zero-knowledge peut entraîner la divulgation d'informations sensibles. Par conséquent, il est essentiel de se concentrer sur la mise en œuvre de ces caractéristiques lors de l'évaluation de la sécurité.
Points de sécurité des projets Blockchain ZKP
Pour les projets de Blockchain basés sur ZKP, il est principalement nécessaire de se concentrer sur les problèmes de sécurité suivants :
1. Circuits zk-SNARKs
Le circuit ZKP est le cœur de tout le système, et sa sécurité affecte directement la fiabilité du projet. Les principaux points d'attention comprennent :
Erreur de conception de circuit : peut entraîner un processus de preuve ne respectant pas les propriétés de sécurité. Par exemple, Zcash a découvert en 2018 lors de la mise à niveau Sapling une erreur de conception de circuit pouvant entraîner la contrefaçon illimitée de tokens.
Erreur d'implémentation des primitives cryptographiques : si les primitives cryptographiques sous-jacentes présentent des défauts, cela peut entraîner l'effondrement de l'ensemble du système. Ce type de problème n'est pas rare, comme le pont inter-chaînes BNB Chain qui a subi des pertes énormes en raison d'une erreur d'implémentation de la vérification de l'arbre Merkle.
Manque de randomisation : Les systèmes ZKP dépendent de nombres aléatoires de haute qualité, des problèmes de génération de nombres aléatoires peuvent compromettre la sécurité de la preuve. Par exemple, Dfinity a découvert une vulnérabilité de génération de nombres aléatoires qui pourrait compromettre les caractéristiques de zk-SNARKs.
2. Sécurité des contrats intelligents
Pour les projets de crypto-monnaie axés sur la confidentialité basés sur Layer 2 ou sur des contrats intelligents, la sécurité des contrats est cruciale. En plus des vulnérabilités courantes telles que la réentrance et le débordement, il faut également prêter une attention particulière à la validation des messages inter-chaînes et à la vérification des preuves, car cela peut directement affecter la fiabilité du système. Par exemple, la vulnérabilité du contrat Verify de Circom a permis à un attaquant de réaliser une double dépense via un pseudonyme.
3. Disponibilité des données
Assurer un accès sécurisé et une validation efficace des données hors chaîne est essentiel pour les projets Layer 2. En 2019, la chaîne Plasma a connu des interruptions de transactions et de retraits en raison de l'incapacité des validateurs à accéder aux données hors chaîne. En plus d'adopter des preuves de disponibilité des données, il convient également de renforcer la protection de l'hôte et la surveillance de l'état des données.
4. Mécanisme d'incitation économique
Un mécanisme d'incitation raisonnable est essentiel pour maintenir la sécurité et la stabilité du système. Il est nécessaire d'évaluer si la conception du modèle d'incitation, la distribution des récompenses et le mécanisme de punition peuvent efficacement inciter les parties prenantes à participer.
5. Protection de la vie privée
Pour les projets impliquant la protection de la vie privée, il est nécessaire d'examiner la mise en œuvre de leur plan de confidentialité. Assurez-vous que les données des utilisateurs sont pleinement protégées tout au long du processus, tout en garantissant la disponibilité et la fiabilité du système. Il est possible d'évaluer le risque de fuite de confidentialité en analysant le flux de communication du protocole.
6. Optimisation des performances
Évaluer les stratégies d'optimisation des performances du projet, y compris la vitesse de traitement des transactions et l'efficacité du processus de validation, etc. Examiner les mesures d'optimisation dans l'implémentation du code pour s'assurer qu'elles répondent aux exigences de performance.
7. Mécanismes de tolérance aux pannes et de récupération
Stratégies de réponse des projets d'audit face à des situations imprévues telles que des pannes réseau, des attaques malveillantes, etc. Assurez-vous que le système dispose de capacités de récupération automatique et de maintien du fonctionnement normal.
8. Qualité du code
Auditez la qualité du code du projet de manière exhaustive, en vous concentrant sur la lisibilité, la maintenabilité et la robustesse. Évaluez s'il existe des pratiques de programmation non conformes, du code redondant ou des erreurs potentielles.
Services de sécurité et solutions de protection
Pour assurer la sécurité du projet ZKP, les mesures suivantes peuvent être prises :
Audit de code à 360 degrés : comprend l'audit de toutes les étapes, y compris les contrats intelligents, la logique de codage des circuits, les conditions de contrainte et la génération de témoins.
Tests automatisés : tests de fuzz et tests de sécurité pour le code Sequencer/Prover et les contrats de vérification.
Surveillance en temps réel : déployer un système de surveillance de la sécurité sur la Blockchain, permettant la perception, l'alerte et le suivi des risques en temps réel.
Protection des hôtes : utiliser des produits de sécurité des hôtes avec capacités CWPP et ASA, garantissant un fonctionnement sécurisé et fiable des serveurs.
Simulation d'attaque : en assemblant manuellement des témoins logiques personnalisés, simuler divers scénarios d'attaque pour effectuer des tests.
En résumé, la protection de la sécurité des projets ZKP doit être adaptée à leurs scénarios d'application spécifiques, en prenant en compte de manière exhaustive tous les aspects, de la cryptographie de base aux applications de haut niveau. Ce n'est qu'en garantissant la complétude, la fiabilité et la propriété de non-divulgation des ZKP que l'on peut construire un système véritablement sûr et fiable.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
22 J'aime
Récompense
22
5
Partager
Commentaire
0/400
fork_in_the_road
· 07-20 04:34
Il vaut la peine d'être étudié en profondeur.
Voir l'originalRépondre0
WinterWarmthCat
· 07-17 12:05
La sécurité doit être mise en œuvre de manière concrète pour être fiable.
Les 8 principales vulnérabilités de sécurité et stratégies de protection des projets de Blockchain zk-SNARKs
zk-SNARKs et considérations de sécurité en combinaison avec Blockchain
zk-SNARKs(ZKP) en tant que technologie cryptographique avancée, s'intègre en profondeur avec la technologie Blockchain. Avec de plus en plus de protocoles Layer 2 et de chaînes publiques spécialisées adoptant ZKP, sa complexité a également apporté de nouveaux défis en matière de sécurité. Cet article examinera, du point de vue de la sécurité, les vulnérabilités potentielles de ZKP dans les applications Blockchain, afin de fournir des références pour la protection de la sécurité des projets connexes.
Les caractéristiques clés des zk-SNARKs
Avant d'analyser la sécurité des systèmes ZKP, nous devons comprendre ses trois caractéristiques essentielles :
Complétude : Pour une déclaration vraie, le prouveur peut toujours réussir à prouver sa véracité au vérificateur.
Fiabilité : En ce qui concerne les déclarations erronées, le prouveur malveillant ne peut pas tromper le vérificateur.
Propriété de non-divulgation : au cours du processus de vérification, le vérificateur ne recevra aucune information sur les données d'origine.
Ces trois caractéristiques sont les pierres angulaires qui garantissent la sécurité et l'efficacité des systèmes ZKP. Si l'une de ces caractéristiques est compromise, cela peut entraîner l'effondrement de la sécurité du système. Par exemple, un manque de complétude peut provoquer des attaques par déni de service ; une fiabilité insuffisante peut être exploitée par des attaquants pour créer de fausses preuves ; une atteinte à la propriété de zero-knowledge peut entraîner la divulgation d'informations sensibles. Par conséquent, il est essentiel de se concentrer sur la mise en œuvre de ces caractéristiques lors de l'évaluation de la sécurité.
Points de sécurité des projets Blockchain ZKP
Pour les projets de Blockchain basés sur ZKP, il est principalement nécessaire de se concentrer sur les problèmes de sécurité suivants :
1. Circuits zk-SNARKs
Le circuit ZKP est le cœur de tout le système, et sa sécurité affecte directement la fiabilité du projet. Les principaux points d'attention comprennent :
Erreur de conception de circuit : peut entraîner un processus de preuve ne respectant pas les propriétés de sécurité. Par exemple, Zcash a découvert en 2018 lors de la mise à niveau Sapling une erreur de conception de circuit pouvant entraîner la contrefaçon illimitée de tokens.
Erreur d'implémentation des primitives cryptographiques : si les primitives cryptographiques sous-jacentes présentent des défauts, cela peut entraîner l'effondrement de l'ensemble du système. Ce type de problème n'est pas rare, comme le pont inter-chaînes BNB Chain qui a subi des pertes énormes en raison d'une erreur d'implémentation de la vérification de l'arbre Merkle.
Manque de randomisation : Les systèmes ZKP dépendent de nombres aléatoires de haute qualité, des problèmes de génération de nombres aléatoires peuvent compromettre la sécurité de la preuve. Par exemple, Dfinity a découvert une vulnérabilité de génération de nombres aléatoires qui pourrait compromettre les caractéristiques de zk-SNARKs.
2. Sécurité des contrats intelligents
Pour les projets de crypto-monnaie axés sur la confidentialité basés sur Layer 2 ou sur des contrats intelligents, la sécurité des contrats est cruciale. En plus des vulnérabilités courantes telles que la réentrance et le débordement, il faut également prêter une attention particulière à la validation des messages inter-chaînes et à la vérification des preuves, car cela peut directement affecter la fiabilité du système. Par exemple, la vulnérabilité du contrat Verify de Circom a permis à un attaquant de réaliser une double dépense via un pseudonyme.
3. Disponibilité des données
Assurer un accès sécurisé et une validation efficace des données hors chaîne est essentiel pour les projets Layer 2. En 2019, la chaîne Plasma a connu des interruptions de transactions et de retraits en raison de l'incapacité des validateurs à accéder aux données hors chaîne. En plus d'adopter des preuves de disponibilité des données, il convient également de renforcer la protection de l'hôte et la surveillance de l'état des données.
4. Mécanisme d'incitation économique
Un mécanisme d'incitation raisonnable est essentiel pour maintenir la sécurité et la stabilité du système. Il est nécessaire d'évaluer si la conception du modèle d'incitation, la distribution des récompenses et le mécanisme de punition peuvent efficacement inciter les parties prenantes à participer.
5. Protection de la vie privée
Pour les projets impliquant la protection de la vie privée, il est nécessaire d'examiner la mise en œuvre de leur plan de confidentialité. Assurez-vous que les données des utilisateurs sont pleinement protégées tout au long du processus, tout en garantissant la disponibilité et la fiabilité du système. Il est possible d'évaluer le risque de fuite de confidentialité en analysant le flux de communication du protocole.
6. Optimisation des performances
Évaluer les stratégies d'optimisation des performances du projet, y compris la vitesse de traitement des transactions et l'efficacité du processus de validation, etc. Examiner les mesures d'optimisation dans l'implémentation du code pour s'assurer qu'elles répondent aux exigences de performance.
7. Mécanismes de tolérance aux pannes et de récupération
Stratégies de réponse des projets d'audit face à des situations imprévues telles que des pannes réseau, des attaques malveillantes, etc. Assurez-vous que le système dispose de capacités de récupération automatique et de maintien du fonctionnement normal.
8. Qualité du code
Auditez la qualité du code du projet de manière exhaustive, en vous concentrant sur la lisibilité, la maintenabilité et la robustesse. Évaluez s'il existe des pratiques de programmation non conformes, du code redondant ou des erreurs potentielles.
Services de sécurité et solutions de protection
Pour assurer la sécurité du projet ZKP, les mesures suivantes peuvent être prises :
Audit de code à 360 degrés : comprend l'audit de toutes les étapes, y compris les contrats intelligents, la logique de codage des circuits, les conditions de contrainte et la génération de témoins.
Tests automatisés : tests de fuzz et tests de sécurité pour le code Sequencer/Prover et les contrats de vérification.
Surveillance en temps réel : déployer un système de surveillance de la sécurité sur la Blockchain, permettant la perception, l'alerte et le suivi des risques en temps réel.
Protection des hôtes : utiliser des produits de sécurité des hôtes avec capacités CWPP et ASA, garantissant un fonctionnement sécurisé et fiable des serveurs.
Simulation d'attaque : en assemblant manuellement des témoins logiques personnalisés, simuler divers scénarios d'attaque pour effectuer des tests.
En résumé, la protection de la sécurité des projets ZKP doit être adaptée à leurs scénarios d'application spécifiques, en prenant en compte de manière exhaustive tous les aspects, de la cryptographie de base aux applications de haut niveau. Ce n'est qu'en garantissant la complétude, la fiabilité et la propriété de non-divulgation des ZKP que l'on peut construire un système véritablement sûr et fiable.