区块链安全公司Veridise最新报告表明，审计零知识(ZK)项目时发现严重问题的概率是其他类型审计的两倍。分析最近100次审计中发现的1605个漏洞，ZK审计每次平均发现18个问题，而其他审计平均为16个。

Veridise的数据显示，ZK审计中有55%（20次中的11次）发现了关键问题，而其他类型审计的这一比例为27.5%（80次中的22次）。这些审计包括智能合约，钱包集成，区块链实施和中继器等领域。

ZK协议因其在增强区块链交易隐私性和可扩展性方面的潜力备受关注。它们允许一方向另一方证明某项陈述的真实性，而无需透露额外信息。由于ZK协议复杂的加密结构和创新性，审计发现了更多严重漏洞，这些漏洞往往超出现有加密技术的界限。

Veridise首席执行官兼联合创始人Jon Stephens表示：“开发ZK电路需要对见证生成器中的操作语义进行精确推理。当这些语义没有正确编码到约束中时，就会出现错误。电路中存在更多错误是有道理的，因为它与通常的编程模型非常不同。”

Veridise的审计还揭示了整体最常见的漏洞类型，包括逻辑错误（385个），可维护性错误（355个）和数据验证错误（304个），这些问题占所有发现问题的65%。在360次专门针对ZK的审计中，这三类问题也占主导地位。

尽管可维护性问题不一定是严重的安全漏洞，比如不良的编码实践，但有时它们“距离严重错误仅一步之遥”。

在检测到的223类严重或以上严重事件中，逻辑错误(91)和数据验证错误(35)占主导地位，其次是“无约束电路”(19)，拒绝服务(DoS)(16)和访问控制(13)。大约78%的高严重性问题仅与这五个类别相关，占发现漏洞的174个。

Veridise指出，尽管严重事件约占大多数类型漏洞的10%至30%，但“不完全约束电路”包含严重事件的可能性高达90%或更高。“约束不完全的电路是典型的问题，尤其是在涉及ZK的审计中……当算术电路的约束没有完全执行审计所需的所有条件时，看看某些计算是否正确执行。它们不会发生在传统的智能合约中。”

这意味着恶意方可以创建一个证明来欺骗验证者将虚假陈述视为真实，从而严重破坏协议的完整性。

在Veridise审计中，ZK技术通常用于关键基础设施协议，如ZK L2 rollups，ZK-VM和Circom库。Veridise在1月份为Succinct Labs发现了一个“百万美元”的ZK bug，强调了验证这些协议安全性的重要性，因为它会影响基于其构建的所有去中心化应用程序。

逻辑错误通常出现在代码由于逻辑流程错误而无法执行其预期功能时。例如，智能合约允许用户错误地提取超出其余额的资金。

数据验证问题指在处理之前未能正确验证数据的准确性，完整性和真实性。

DoS问题通常涉及旨在破坏协议正常运行的攻击。例如，智能合约可能被错误地设计为允许攻击者消耗所有可用的天然气。

访问控制问题则是未经授权的用户可以访问受限区域或功能的问题。

Veridise强调，自2018年以来，各种区块链和DeFi平台被黑客攻击的金额已超过100亿美元，因此有必要突出这些漏洞类型，以帮助引导Web3项目关注最重要的严重缺陷并主动预防。

根据该公司网站，Manta Network，Scroll和Ankr都是Veridise的审计客户。