Odaily スタージャーナルによると LambdaClass は、最近、ゼロ知識証明インフラストラクチャ会社 Succinct SP1 の ZKVM 証明生成プロセスにおける重大なセキュリティ上の欠陥を明らかにした後、厳しい監視の対象となっています。 SP1 バージョン 3 の脆弱性は、3Mi Labs および Aligned との共同で発見され、2 つの独立したセキュリティ脆弱性の相互作用によって発生しました。
Succinct は以前、この潜在的な脆弱性を Github と Telegram を通じてユーザーに公開しました。この脆弱性は公開される前にすぐに解決されましたが、そのプロセスにより、ゼロ知識仮想マシン (ZKVM) のセキュリティ慣行の透明性に関する懸念が生じました。 SP1 テクノロジーは現在、開発中のロールアップ インフラストラクチャ アップグレードをサポートしています。
-Mantle Network は、トランザクション完了時間を短縮し、機関レベルの資産決済をサポートするように設計された ZK 有効性ロールアップに移行するために SP1 を統合しました。
-AggLayer は SP1 を使用して悲観的な証明を生成し、クロスチェーン相互運用性ソリューションのセキュリティを確保します。
-Taiko は、マルチ認証者システムを使用して L2 実行を保護するために、ZK 証明者として SP1 を採用しました。
-Soon は、RISC Zero を使用する Eclipse と同様に、SP1 を利用した ZK 障害証明を使用して Ethereum に落ち着く SVM ロールアップ フレームワークを構築する比較的新しいプロジェクトです。
LambdaClass は、脆弱性の影響を完全に把握するにはさらなる評価が必要であると警告しました。エクスプロイトは 2 つの問題間の相互作用に依存していることに注意してください。つまり、1 つの問題を修正するだけではエクスプロイトを防ぐのに十分ではない可能性があります。
LambdaClass の開発者 Fede 氏は、Succinct がこの問題に関して緊急性を欠いていることを察知した後、彼のチームがこの問題を公に公開する必要性を感じているとソーシャル メディアで強調しました。
Avail の Anurag Arjun 氏によると、Succinct のリーダーシップは問題の解決に責任を持って行動しましたが、より適切な公開慣行が必要であることに同意しています。 Arjun 氏は、脆弱性が公に公開される前に、彼のチームがこの問題について非公開で知らされていることを認めました。 Avail の展開は、ライセンスを取得したままである Succinct の独自の認証者に依存しているため、危険にさらされることはありません。 Avail のロールアップ クライアントはまだ SP1 主導のブリッジ コントラクトの使用を開始していないため、実際の影響はありません。
一方、簡潔支持者らは、責任ある情報開示には、不必要な警戒や悪用の可能性を避けるために、公的声明の前に非公開で報告することがしばしば含まれると指摘している。
さらに、Turbo として知られる Succinct の SP1 アップデート バージョン 4 では、発見された脆弱性に対処しており、下流のプロジェクトが修正の統合を開始しています。 (ブロックワークス)