Considerações de segurança na combinação de zk-SNARKs e Blockchain

zk-SNARKs(ZKP) como uma poderosa ferramenta de criptografia, está gradualmente se fundindo profundamente com a tecnologia Blockchain. Com um número crescente de protocolos Layer 2 e blockchains públicas especiais adotando a tecnologia ZKP, a complexidade de seus sistemas também trouxe novos desafios de segurança. Este artigo irá explorar, do ponto de vista da segurança, as vulnerabilidades que podem surgir no processo de combinação do ZKP com o Blockchain, fornecendo referências para a segurança de projetos relevantes.

As características principais do ZKP

Antes de analisar a segurança do sistema ZKP, precisamos primeiro entender suas características principais. Um sistema de prova de conhecimento zero completo deve satisfazer simultaneamente as seguintes três propriedades:

1. Completude: para afirmações verdadeiras, o provador pode sempre provar com sucesso ao validador a sua correção.

2. Confiabilidade: para declarações erradas, o provador malicioso não consegue enganar o validador.

3. zk-SNARKs: Durante o processo de verificação, o verificador não receberá nenhuma informação sobre os dados originais.

Estas três propriedades são a base da segurança e eficácia do sistema ZKP. Se alguma das propriedades não for atendida, podem surgir sérios riscos de segurança no sistema, como negação de serviço, contorno de permissões ou vazamento de dados.

Focos de preocupação com a segurança

Para projetos de blockchain baseados em ZKP, é necessário prestar atenção às seguintes direções de segurança:

1. zk-SNARKs circuito

O circuito ZKP é o núcleo de todo o sistema, sendo necessário garantir a sua segurança, eficácia e escalabilidade. Os principais pontos de atenção incluem:

• Design de circuitos: evitar erros lógicos que levam o processo de prova a não cumprir as propriedades de segurança.
• Implementação de primitivas criptográficas: garantir a implementação correta de componentes básicos como funções de hash, algoritmos de criptografia, etc.
• Garantia de aleatoriedade: garantir a segurança do processo de geração de números aleatórios.

2. Segurança de contratos inteligentes

Para projetos de Layer 2 ou moedas de privacidade, os contratos inteligentes desempenham um papel fundamental na transferência de ativos entre cadeias e na validação de provas. Além das vulnerabilidades comuns, é necessário prestar especial atenção à segurança da validação de mensagens entre cadeias e da validação de provas.

3. Disponibilidade de dados

Certifique-se de que os dados off-chain possam ser acessados e verificados de forma segura e eficaz. Concentre-se na segurança do armazenamento de dados, dos mecanismos de verificação e do processo de transmissão. A proteção pode ser reforçada por meio de provas de disponibilidade de dados, proteção de hosts e monitoramento do estado dos dados.

4. Mecanismo de Incentivos Econômicos

Avaliar o design do modelo de incentivos do projeto, a distribuição de recompensas e os mecanismos de penalização, garantindo que todas as partes envolvidas possam participar de forma razoável e manter a segurança e a estabilidade do sistema.

5. Proteção da Privacidade

A implementação do esquema de privacidade do projeto de auditoria garante que os dados dos usuários estejam adequadamente protegidos durante a transmissão, armazenamento e verificação, ao mesmo tempo que mantém a disponibilidade e a confiabilidade do sistema.

6. Otimização de desempenho

Avaliar as estratégias de otimização de desempenho do projeto, como a velocidade de processamento de transações, a eficiência do processo de validação, entre outros, para garantir que atendam aos requisitos de desempenho.

7. Mecanismos de tolerância a falhas e recuperação

Estratégias de tolerância a falhas e recuperação de projetos de auditoria diante de falhas de rede, ataques maliciosos e outras situações imprevistas, garantindo que o sistema possa se recuperar automaticamente e manter a operação normal sempre que possível.

8. Qualidade do código

Auditar a qualidade global do código do projeto, focando na legibilidade, manutenibilidade e robustez, avaliando a existência de práticas de programação não conformes, código redundante ou erros potenciais.

Serviços e Proteção de Segurança

Fornecer proteção de segurança abrangente para projetos ZKP pode ser abordado a partir dos seguintes aspectos:

1. Auditoria de Circuitos: Utilizar métodos manuais e automatizados para auditar a correção das condições de restrição e da geração de testemunhos, com especial atenção para a falta de vulnerabilidades no cálculo das restrições.

2. Auditoria de código: realizar testes de Fuzz e segurança no código Sequencer/Prover e nos contratos de verificação.

3. Monitorização em tempo real: implementar sistemas de monitorização e proteção de segurança em blockchain, para realizar percepção de riscos, alarmes e bloqueio de ataques.

4. Proteção do host: Utilize produtos de segurança de host com capacidades CWPP e ASA para garantir a operação segura e confiável do servidor.

Conclusão

A segurança dos projetos de ZKP depende de seus cenários de aplicação específicos, como Layer 2, moedas de privacidade ou blockchains públicas. De qualquer forma, é necessário garantir efetivamente as três propriedades centrais do ZKP: completude, confiabilidade e zero conhecimento. Somente considerando todos os aspectos de segurança é que se pode construir um sistema de blockchain ZKP verdadeiramente seguro e confiável.