Odaily 스타 데일리 뉴스 LambdaClass는 최근 영지식 증명 인프라 회사 Succinct SP1의 ZKVM 증명 생성 프로세스에서 심각한 보안 결함을 공개한 후 집중적인 조사를 받았습니다. SP1 버전 3의 취약점은 3Mi Labs 및 Aligned와의 협력을 통해 발견되었으며 두 개의 독립적인 보안 취약점의 상호 작용으로 인해 발생했습니다.
Succinct는 이전에 Github 및 Telegram을 통해 사용자에게 이 잠재적인 취약점을 공개했습니다. 취약점은 공개되기 전에 신속하게 해결되었지만 이 프로세스는 영지식 가상 머신(ZKVM) 보안 관행의 투명성에 대한 우려를 불러일으켰습니다. SP1 기술은 현재 개발 중인 롤업 인프라 업그레이드를 지원하고 있습니다.
-Mantle Network는 거래 완료 시간을 단축하고 기관 수준의 자산 정산을 지원하도록 설계된 ZK 유효성 롤업으로 전환하기 위해 SP1을 통합했습니다.
-AggLayer는 크로스체인 상호 운용성 솔루션의 보안을 보장하기 위해 SP1을 사용하여 비관적 증거를 생성합니다.
-Taiko는 다중 인증자 시스템을 사용하여 L2 실행을 보호하기 위해 SP1을 ZK 증명자로 채택했습니다.
-Soon은 RISC Zero를 사용하는 Eclipse와 유사하게 SP1에서 제공하는 ZK 실패 증명을 사용하여 Ethereum에 정착하는 SVM 롤업 프레임워크를 구축하는 비교적 새로운 프로젝트입니다.
LambdaClass는 취약점의 전체 영향에 대해 추가 평가가 필요하다고 경고했습니다. 악용은 두 가지 문제 간의 상호 작용에 따라 달라지므로 한 가지 문제를 해결하는 것만으로는 악용을 예방하는 데 충분하지 않을 수 있다는 점은 주목할 가치가 있습니다.
LambdaClass 개발자 Fede는 Succinct가 문제와 관련하여 긴급성이 부족하다는 것을 감지한 후 그의 팀이 문제를 공개적으로 공개할 필요성을 느꼈다고 소셜 미디어를 통해 강조했습니다.
Avail의 Anurag Arjun에 따르면 Succinct 경영진은 문제를 해결하기 위해 책임감 있게 행동했지만 더 나은 공개 관행이 필요하다는 데 동의합니다. Arjun은 취약점이 공개되기 전에 그의 팀이 이 문제에 대해 개인적으로 통보받았다고 확인했습니다. Avail의 배포는 라이선스가 유지되는 Succinct의 독점 증명자에 의존하기 때문에 위험하지 않습니다. Avail의 롤업 클라이언트는 아직 SP1 기반 브리지 계약을 사용하기 시작하지 않았으므로 실제 영향은 없습니다.
한편, 간결한 지지자들은 책임 있는 공개에는 불필요한 경보와 잠재적인 이용을 피하기 위해 공개 성명 이전에 비공개 보고가 포함되는 경우가 많다는 점을 지적합니다.
또한 Turbo로 알려진 Succinct의 SP1 업데이트 버전 4는 발견된 취약점을 해결하고 다운스트림 프로젝트가 수정 사항을 통합하기 시작했습니다. (블록웍스)