Odaily星球日報によると、LambdaClassは最近、Zero-Knowledge Proofの基盤を提供する企業であるSuccinct SP1 ZKVMのプルーフ生成プロセスに深刻なセキュリティホールがあることを公表し、その後、厳密な監査を受けた。バージョン3のSP1にあるこの欠陥は、3Mi LabsとAlignedとの共同作業によって発見され、2つの独立したセキュリティホールの相互作用から生じたものです。
Succinct 以前、GithubとTelegramを通じて、潜在的な脆弱性をユーザーに開示しました。この脆弱性は開示前にすぐに解決されましたが、この過程でZKVM(零知识仮想マシン)のセキュリティ実践の透明性に対する懸念が引き起こされました。SP1の技術は現在、開発中のロールアップインフラのアップグレードをサポートしています。
-Mantle Network はSP1を統合し、ZK有効性ロールアップに移行し、取引完了時間を短縮し、機関レベルの資産決済をサポートすることを目指しています。
-AggLayerはSP1を使用して悲観的な証明を生成し、クロスチェーン相互運用性ソリューションの安全性を確保します。
- Taikoは、マルチプルーフシステムを使用するL2の実行を保護するために、ZKプルーバーとしてSP1を採用しました。
-Soonは比較的新しいプロジェクトであり、SP1がサポートするZKフォールバックプループフレームワークを構築しています。このフレームワークはイーサリアムに決済するためにZK故障証明を使用し、Eclipseと似ていますが、EclipseはRISC Zeroを使用しています。
LambdaClass警告すると、この脆弱性の影響全体をさらに評価する必要があります。注目すべきは、脆弱性の悪用が2つの問題の相互作用に依存することであり、したがって1つの問題を修正するだけでは脆弱性の悪用を防ぐのに十分ではない可能性があるということです。
LambdaClassの開発者Fedeは、Succinctに関する問題が緊急性を欠いていると気付いた後、彼のチームがその問題を公に開示する必要性を感じたと、ソーシャルメディアで強調しました。
AvailのAnurag Arjunによれば、Succinctのリーダーシップチームは責任ある行動をとり、この問題を修正するために努力していますが、より良い公開開示の方法が必要であると同意しています。Arjunは、彼のチームがこの問題を公開する前に非公開で知っていたことを確認しました。Availのデプロイメントはリスクにさらされていません。彼らはSuccinctのプロプライエタリプルーフチェッカーに依存しており、そのプルーフチェッカーはまだ許可されています。AvailのロールアップクライアントはまだSP1ドライバーのブリッジコントラクトを使用していませんので、実際の影響はありません。
一方で、Succinct の支持者は、責任ある開示は通常、公式声明の前に非公開で報告することで、不必要なパニックや潜在的な悪用を避けるために行われるべきだと指摘しています。
また、SuccinctのSP1のアップデートバージョン4(Turboとも呼ばれる)は、見つかったバグを修正し、下流プロジェクトでもこれらの修正プログラムの統合が始まりました。(Blockworks)
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
