Canlı ZK devrelerine karşı bilinen ilk iki exploit yeni gerçekleşti ve bunlar ince ve sınırlı olmayan hatalar değildi. Onlar, güvenilir kurulum töreni tamamlanmadan konuşlandırılmış Groth16 doğrulayıcılarıydı. Biri ~1,5 milyon dolara beyaz şapkalı kurtarıldı, diğeri ise 5 ETH için boşaldı. 🧵

Her iki protokol de Groth16 dağıtımları için en yaygın yığın olan Circom + snarkjs kullanıyordu. Böcek mi? Güvenilir kurulumun 2. Aşaması, devreye özgü katkı adımını atladılar. Onsuz, doğrulama anahtarının γ ve δ parametreleri aynı değere ayarlanır: G2 genleri

Neden γ = δ her şeyi bozuyor? Groth16 doğrulama kontrolleri: e(-A, B) · e(α, β) · e(vk_x, γ) · e(C, δ) = 1 γ = δ olduğunda, saldırgan C = -vk_x olarak her iki terimi iptal edebilir, ardından A = α, B = β ayarları ile geri kalanları iptal edebilir. Denklem 1 · olur 1 = 1. Tanık gerekmiyor.

Foom Protokolü (~$1.4M), Base ve Ethereum için bir piyango dApp'ti. @duha_real ve başka bir bağımsız beyaz şapka tarafından yapılan bir kurtarma, kötü niyetli bir aktör olmadan sözleşmeleri boşalttı; sahte kanıtlar döngüye alınarak tokenların %99,97–99,99'unu aldı.

Veil Protocol (~$5K), Base için Tornado Cash fork fork'tu. Bir saldırgan, 0xdead0000 gibi sahte geçerliliklerle 29 sahte para çekimiyle tüm havuzu boşalttı, havuzun tam 2.9 ETH bakiyesini çıkardı.

Bu, snarkj'lerin tasarlandığı gibi çalışması. Grot16 kurulumunu çalıştırdığınızda, γ başlatır ve G2 jeneratörüne bir yer tutucu olarak δ eder. Zkey katkısını koşup rastgele δ yapman beklenir. Bu adımı atlarsanız, doğrulayıcınız herhangi bir kanıtı kabul eder.

Korkutucu olan ise: bu derin bir kriptografik kusur ya da ince bir devre hatası değildi. Bu bir görevlendirme hatasıydı: bir CLI komutu eksikti. Ve gerçek fonlarla risk altındayken üretimde kaldı.

Çıkarımlar: - Her zaman sadece devre kodunu değil, dağıtım betiklerini inceleyin - Doğrulama anahtarlarınızı kontrol edin: eğer vk_gamma_2 == vk_delta_2 ise, kanıtlarınız sahtelenebilir - @DedaubSecurity ile birlikte EVM zincirlerini diğer etkilenen sözleşmeler için taradık, yüksek değerli sözleşmeler bulunmadı ama bazıları var