近期，倫敦帝國理工學(xué)院的研究團(tuán)隊發(fā)布了一項重要研究，指出基于短非交互式知識論證（SNARK）的系統(tǒng)存在嚴(yán)重的電路層漏洞。這項研究分析了107份審計報告和16份漏洞披露報告，涵蓋了141個與流行SNARK項目相關(guān)的漏洞，并于8月7日在哥倫比亞大學(xué)的Blockchain科學(xué)會議上公布。

SNARK技術(shù)是一種零知識證明（ZK），允許用戶在不透露任何信息的情況下，證明某個陳述的真實性。研究團(tuán)隊的博士生Stefanos Chaliasos表示，他們識別出了三種主要的電路層漏洞類型：約束不足、約束過度和計算錯誤。

Chaliasos指出：“大多數(shù)漏洞發(fā)生在電路級別，且與正確性反饋相關(guān)。這在使用ZK-Rollup時尤為危險，因為一旦出現(xiàn)這樣的錯誤，攻擊者可能會從電路層抽走所有資金。”

研究顯示，在發(fā)現(xiàn)的95個影響正確性的漏洞中，4個則影響系統(tǒng)的完整性。最常見的漏洞源于約束不足，這可能導(dǎo)致測試人員接受無效證明，從而削弱系統(tǒng)的整體安全性。研究還指出，開發(fā)人員面臨的挑戰(zhàn)包括適應(yīng)不同的抽象級別并優(yōu)化電路以提高效率，這直接關(guān)系到SNARK的使用成本。

研究團(tuán)隊分析了這些漏洞的根本原因，包括問題與約束之間的差異、缺乏輸入約束以及電路的不安全重用等因素。這些問題的存在使得SNARK系統(tǒng)在安全性上的信任基礎(chǔ)遭到動搖。

在同一會議的第一天，Aptos團(tuán)隊也展示了他們的新機(jī)制——加權(quán)可驗證隨機(jī)函數(shù)（加權(quán) VRF）。該機(jī)制旨在增強(qiáng)共識過程中的隨機(jī)性，通過將參與者的權(quán)益納入隨機(jī)選擇過程，提高了選擇的公正性。

Aptos于6月份在主網(wǎng)上部署了這一機(jī)制，負(fù)責(zé)人Alin Tomescu表示：“我們處理了50萬次調(diào)用，隨機(jī)延遲從提交區(qū)塊到可用的時間最初為160毫秒，經(jīng)過優(yōu)化后縮短至25毫秒。”