安全公司 Veridise：ZK 專案審計中發現關鍵問題的可能性是其他類型的兩倍

根據《The Block》報導，區塊鏈安全公司 Veridise 的報告指出，零知識（Zero-Knowledge）專案的安全審計發現關鍵問題（critical issues）的可能性是其他審計類型的兩倍。

Veridise 分析了其最近的 100 件審計中發現的 1,605 個漏洞，結果顯示平均每次審計發現約 16 個問題，而在 ZK 專案審計中發現的漏洞數量略高，平均為 18 個。

但是當專注於關鍵漏洞時，Veridise 發現 ZK 審計中有 55%（20 件中有 11 件）存在關鍵問題，而其他審計（包括智能合約、錢包整合、區塊鏈實施和中繼器）的比例為 27.5%（80 件中有 22 件存在關鍵問題）。

根據 Veridise 的說法，ZK 安全性「更加具有挑戰性」，其審計會發現更多的關鍵漏洞，這是由於 ZK 協議中的複雜密碼結構和創新性，這往往能突破現有密碼學技術的界線。

「開發 ZK 電路需要對見證生成器中的操作語意進行精確推理。」Veridise 共同創辦人暨執行長 Jon Stephens 向 The Block 表示：「當那些語意沒有被正確編碼進限制條件時，就會出現錯誤，這解釋了為什麼電路中出現更多的漏洞，因為這與典型的程式設計法非常不同。」

最常見的 DeFi 漏洞

Veridise 表示，總體而言，該公司在審計中發現的最常見漏洞為邏輯錯誤（385個）、可維護性（355個）和資料驗證（304個）問題，占審計中發現的問題總數的 65%。在發現的 360 個特定於 ZK 審計的漏洞中，這三種問題也占了大多數。

該團隊表示，雖然可維護性問題不完全是安全漏洞，包括像是不良的編程實踐，但它們有時差之毫釐就會成為嚴重漏洞。

在發現的 223 種嚴重（關鍵或高級別）問題類型中，邏輯錯誤（91個）和資料驗證（35個）問題居多，其次是「約束過少的電路」（19個）、拒絕服務（16個）和存取控制（13個）漏洞等。在所有審計中，約 78% 的高嚴重性問題可追溯至這五種類型，占已發現漏洞的 174 個。

根據 Veradise 的解釋，邏輯錯誤發生在程式碼因邏輯流程中的錯誤而無法執行其預期功能時，典型的例子是智能合約錯誤地允許使用者提取超出其餘額的資金。資料驗證問題涉及未能在處理資料之前適當地驗證資料的正確性、完整性和真實性。拒絕服務問題涉及旨在破壞協議正常運作的攻擊，例如，智能契約可能被錯誤地設計為允許攻擊者消耗所有可用的 Gas。存取控制問題是指未經授權的使用者可以獲得限制區域或功能存取權的問題。