SuccinctはSP1の潜在的な欠陥の開示後に修正バージョンをリリースし、批評家はプロセスの透明性が不足していると指摘しています

Odaily星球日報によると、LambdaClassは最近、Zero-Knowledge Proofの基盤を提供する企業であるSuccinct SP1 ZKVMのプルーフ生成プロセスに深刻なセキュリティホールがあることを公表し、その後、厳密な監査を受けた。バージョン3のSP1にあるこの欠陥は、3Mi LabsとAlignedとの共同作業によって発見され、2つの独立したセキュリティホールの相互作用から生じたものです。 Succinct 以前、GithubとTelegramを通じて、潜在的な脆弱性をユーザーに開示しました。この脆弱性は開示前にすぐに解決されましたが、この過程でZKVM（零知识仮想マシン）のセキュリティ実践の透明性に対する懸念が引き起こされました。SP1の技術は現在、開発中のロールアップインフラのアップグレードをサポートしています。 -Mantle Network はSP1を統合し、ZK有効性ロールアップに移行し、取引完了時間を短縮し、機関レベルの資産決済をサポートすることを目指しています。 -AggLayerはSP1を使用して悲観的な証明を生成し、クロスチェーン相互運用性ソリューションの安全性を確保します。

• Taikoは、マルチプルーフシステムを使用するL2の実行を保護するために、ZKプルーバーとしてSP1を採用しました。 -Soonは比較的新しいプロジェクトであり、SP1がサポートするZKフォールバックプループフレームワークを構築しています。このフレームワークはイーサリアムに決済するためにZK故障証明を使用し、Eclipseと似ていますが、EclipseはRISC Zeroを使用しています。 LambdaClass警告すると、この脆弱性の影響全体をさらに評価する必要があります。注目すべきは、脆弱性の悪用が2つの問題の相互作用に依存することであり、したがって1つの問題を修正するだけでは脆弱性の悪用を防ぐのに十分ではない可能性があるということです。 LambdaClassの開発者Fedeは、Succinctに関する問題が緊急性を欠いていると気付いた後、彼のチームがその問題を公に開示する必要性を感じたと、ソーシャルメディアで強調しました。 AvailのAnurag Arjunによれば、Succinctのリーダーシップチームは責任ある行動をとり、この問題を修正するために努力していますが、より良い公開開示の方法が必要であると同意しています。Arjunは、彼のチームがこの問題を公開する前に非公開で知っていたことを確認しました。Availのデプロイメントはリスクにさらされていません。彼らはSuccinctのプロプライエタリプルーフチェッカーに依存しており、そのプルーフチェッカーはまだ許可されています。AvailのロールアップクライアントはまだSP1ドライバーのブリッジコントラクトを使用していませんので、実際の影響はありません。 一方で、Succinct の支持者は、責任ある開示は通常、公式声明の前に非公開で報告することで、不必要なパニックや潜在的な悪用を避けるために行われるべきだと指摘しています。 また、SuccinctのSP1のアップデートバージョン4（Turboとも呼ばれる）は、見つかったバグを修正し、下流プロジェクトでもこれらの修正プログラムの統合が始まりました。（Blockworks）