KuCoin
Войти
language_currency
главная
Блог
Market Insight
Детали
img

Почему ошибки в логике проверки доказательств с нулевым разглашением стоили криптовалюте — глубокий расследовательский отчет

2026/04/01 04:03:02
Пользовательский
Доказательства с нулевым разглашением являются одними из самых передовых криптографических инструментов, используемых в современных блокчейнах, и обеспечивают конфиденциальность, масштабируемость и компактную верификацию доказательств. Однако, несмотря на математические гарантии этих систем, ошибки в логике и неправильные настройки верификации неоднократно выявлялись в производственных развертываниях, непосредственно приводя к финансовым потерям. Хотя ни одна из задокументированных атак пока не достигла ровно 120 миллионов долларов из-за ошибки в логике доказательства с нулевым разглашением, несколько подтвержденных инцидентов явно показывают, что ошибки в верификаторах ZK и связанные с ними ошибки реализации стоили миллионы в криптовалюте, а выводы исследовательского сообщества указывают, что совокупный системный финансовый риск, связанный с уязвимостями логики ZK, далеко не тривиален.

Что такое доказательства с нулевым разглашением: простыми словами

Доказательства с нулевым разглашением — это криптографический протокол, позволяющий одной стороне доказать другой, что утверждение истинно, не раскрывая, почему оно истинно. В стандартных архитектурах блокчейна, если вы хотите, чтобы кто-то знал, что вычисление было выполнено правильно, вы показываете им данные и шаги. В отличие от этого, доказательство с нулевым разглашением позволяет проверить корректность без раскрытия исходных данных.
 
Это свойство жизненно важно для многих продвинутых блокчейн-систем, особенно ZK-ролапов и доказательств корректности, которые объединяют большое количество транзакций офф-чейн, а затем публикуют краткое доказательство на чейне, подтверждающее корректную обработку транзакций.
 
Математически ZK-доказательства основаны на сложных системах ограничений, таких как zkSNARKs или zkSTARKs. Проверяющий — смарт-контракт или программа на блокчейне — проверяет компактное доказательство. Если доказательство проходит проверку, система принимает вычисление как корректное, не выполняя повторно каждый шаг. Это и есть магия, а также риск.
 
Основная гарантия — корректность: недопустимое доказательство никогда не должно проходить проверку. Однако, если логика проверки реализована неправильно, доказательство для ложного или вредоносного вычисления может быть принято как легитимное. Именно здесь возникают уязвимости.

Обещание ZK-доказательств: и скрытая поверхность атаки

Доказательства с нулевым разглашением ценятся за решение нескольких ограничений блокчейна одним махом: масштабируемость, конфиденциальность и краткая проверка. Однако распространённое заблуждение состоит в том, что ZK-доказательства устраняют все риски. Это не так. Они устраняют определённые классы криптографической неустойчивости, но не устраняют риск логических ошибок в реализации, схем с отсутствующими ограничениями или неправильно настроенными верификаторами.
 
Ошибки при реализации влияют на перевод высокоуровневой логики в низкоуровневые криптографические ограничения. Исследования показывают, что около
96 % задокументированных ошибок в схемах систем на основе SNARK связаны с недостаточно ограниченной логикой, что означает, что упрощения или ошибки в определении ограничений позволили принимать недопустимые доказательства.
 
Это не теоретические проблемы. При внедрении систем ZK-доказательств в продакшн, особенно в DeFi или мостах, даже незначительная неправильная настройка может подорвать всю модель безопасности.
 
Например, параметр, который устаревает, в верификаторе или дублирующаяся константа в системе доказательств Groth16 могут позволить злоумышленнику подделать доказательства, которые никогда не должны были пройти проверку. Это не эксплуатации повторного входа в смарт-контракт или трюки с флеш-займами, это ошибки в логике криптографической верификации.

Реальный инцидент: Эксплуатация неправильной настройки проверки Groth16 FOOMCASH

Одним из самых четко задокументированных инцидентов, напрямую связанных с логикой проверки доказательств с нулевым разглашением, стало использование уязвимости в протоколе FOOMCASH в начале 2026 года. Протокол полагался на верификатор Groth16 zkSNARK — одну из самых распространенных систем доказательств в криптовалюте. Проблема оказалась удивительно незначительной: две константы эллиптической кривой (гамма и дельта), которые должны были быть независимыми, были случайно установлены в одно и то же значение.
 
В криптографических терминах эта ошибка устранила важное алгебраическое разделение, обеспечивающее достоверность, что позволило злоумышленнику генерировать доказательства, выглядевшие достоверными для проверяющего, даже когда они не были таковыми. Результат? Из протокола было изъято более 2,26 миллиона долларов, не из-за флеш-займа или уязвимости контракта, а потому что проверяющий ZK-доказательств доверял поддельным доказательствам.
 
Аналитики безопасности описали это как «одну строку криптографической неправильной настройки, которая позволила злоумышленнику подделывать действительные доказательства и произвольно извлекать средства». Этот эксплойт не связан с нарушением математических основ доказательств с нулевым разглашением, он использовал ошибку в настройке ключа проверки.
 
Этот инцидент имеет историческое значение, поскольку демонстрирует, как ошибка криптографического параметра, а не уязвимость смарт-контракта, может непосредственно привести к реальным финансовым потерям. Более того, тот же класс уязвимостей был использован в другом аналогичном протоколе (Veil) вскоре до этого, что подтверждает, что сам класс уязвимостей не является редким, а представляет собой техническую и серьезную проблему.

Почему такие ошибки сохраняются: схемы сложнее аудитировать, чем смарт-контракты

Причина, по которой ошибки в логике проверки с нулевым разглашением остаются повторяющейся проблемой, заключается в том, что аудит ZK-схем значительно сложнее, чем аудит смарт-контрактов. Традиционные аудиторы смарт-контрактов используют хорошо разработанные инструменты, фаззеры и установленные шаблоны для поиска ошибок. Логика смарт-контрактов, даже когда она сложна, все еще представляет собой код, написанный на понятных языках, таких как Solidity.
 
Цепочки доказательств ZK, напротив, выражаются на языках, таких как Circom или Halo2, которые компилируют логику высокого уровня в системы ограничений, используемые доказывающими системами zkSNARK/STARK. Этот трансляционный слой крайне подвержен ошибкам и непонятен аудиторам, не знакомым с криптографической алгеброй.
 
Научные статьи, такие как zkFuzz: Foundation and Framework for Effective Fuzzing of Zero‑Knowledge Circuits, демонстрируют, что даже продвинутые инструменты фаззинга могут обнаружить десятки ошибок в реальных ZK-схемах, некоторые из которых глубоко скрыты. В тестах на реальных схемах zkFuzz обнаружил 66 ошибок, включая 38 уязвимостей нулевого дня, многие из которых могут привести к принятию недопустимых доказательств, если останутся нерешёнными.
 
Это исследование подчеркивает, что традиционные инструменты аудита кода не подходят для верификации ZK-схем. Сложность возникает потому, что ZK-схемы должны кодировать *все возможные логические пути и ограничения непосредственно в математической форме*. Если какое-либо ограничение отсутствует или указано неверно, даже незначительно, система доказательств может работать некорректно, не выдавая ошибку.

Не только одна ошибка: Доказательства с нулевым разглашением в протоколах имеют известные уязвимости

Помимо уязвимости FOOMCASH, исследователи зафиксировали логические ошибки в системах нулевого знания в различных средах. Например, была обнаружена ошибка в обеспечении корректности программы доказательства ZK ElGamal на Solana*, которая могла позволить поддельные доказательства обойти проверку комиссий, хотя, что важно, никаких эксплуатаций в дикой природе не сообщалось.
 
Академические обзоры также указывают на ошибки сбоя финализации в протоколах, таких как zkRollup Polygon и Scroll, которые были позже исправлены после ответственного раскрытия, что демонстрирует, что производственные нулевознания системы могут содержать уязвимые логические недостатки даже в крупных сетях.
 
Большинство этих инцидентов пока не сопровождались крупными публично заявленными потерями, но закономерность логических ошибок сохраняется и подтверждена при нескольких развертываниях. В сочетании с исследованиями, показывающими 96 % распространенность ошибок в цепях с недостаточными ограничениями, становится правдоподобно объединить эти риски в совокупности в десятки миллионов долларов, даже если ни одна отдельная атака не достигла точно $120 млн.

Почему эти ошибки могут быть опаснее, чем уязвимости смарт-контрактов

Ошибка в смарт-контракте, насколько серьезной она ни была бы, обычно влияет на конкретную функцию или особенность протокола. Пользователи часто могут вывести средства в течение окна эксплуатации, а злоумышленникам необходимо взаимодействовать с контрактом предсказуемым образом, чтобы были потеряны миллионы.
 
Уязвимости в проверке доказательств с нулевым разглашением отличаются. Они вообще не возникают на уровне бизнес-логики, а возникают на криптографическом уровне проверки. Если верификатор ошибается, каждое доказательство, которое система видит, может быть поддельным и всё равно будет принято. Результатом становится не кража на 5 млн долларов, а возможность масштабных недопустимых переходов состояния или поддельных перемещений активов.
 
В крайних теоретических сценариях ошибка в логике проверки в базовом коде ZK-ролапа может позволить злоумышленникам создавать или выводить активы, которых никогда не существовало. Это означает, что потери могут теоретически превзойти убытки от традиционных эксплойтов смарт-контрактов, поскольку сам доказательство является фундаментальным уровнем доверия.

Более широкий контекст уязвимости криптовалют

Важно рассматривать ошибки в логике ZK-доказательств в контексте более широкой картины эксплуатаций в DeFi. Согласно отчетам по безопасности блокчейна, только в 2025 году потери от хаков в криптовалюте составили миллиарды долларов, общие потери достигли оценочных $3,4 млрд из-за краж и эксплуатаций, хотя большинство из них не были исключительно связаны с ошибками логики ZK.
 
Исследования показывают, что потери в DeFi часто вызваны уязвимостями в контрактах с ограниченными правами, манипуляциями с оракулами, эксплуатацией мостов и социальной инженерией, а ошибки в ZK ответственны за меньшие, но реальные потери, такие как хищение средств FOOMCASH.
 
Сводя вместе мелкие инциденты, связанные с ZK, задокументированные эксплуатации, выявленные логические ошибки, устранённые до эксплуатации, и академические исследования неисправных схем, становится правдоподобным, что совокупное финансовое воздействие за последние несколько лет приблизилось к десяткам миллионов долларов, даже если ни одна атака не достигла точно 120 млн долларов

Как разработчики и аудиторы реагируют

В ответ на эти уязвимости отрасль переходит к строгим инструментам и формальным методам. Проекты инвестируют в рамки формальной верификации, статический анализ, адаптированный для криптографических схем, и специализированные инструменты фаззинга, такие как zkFuzz, разработанные специально для обнаружения ошибок в ZK-логике.
 
Формальная верификация, которая математически доказывает соответствие ограничений данной схемы её предполагаемой логике, становится стандартом для проектов, работающих с крупными суммами. Это выходит далеко за рамки традиционных ручных аудитов или проверок кода, поскольку направлена на математическое устранение классов логических ошибок, невидимых при обычных проверках.
 
Некоторые протоколы также объединяют несколько независимых реализаций проверяющих, чтобы доказательства должны удовлетворять более чем одной логике проверки, что затрудняет полное подрыв системы из-за одной ошибки в логике.

От эксплуатации к инновациям: как каждая неудача в ZK-доказательстве способствует созданию более умных инструментов безопасности

Каждый значимый эксплойт, связанный с доказательством с нулевым разглашением (ZK), от неправильной настройки верификации Groth16 в FOOMCASH до более мелких ошибок в схемах с недостаточными ограничениями в нескольких протоколах DeFi, стимулировал инновации в области безопасности блокчейна. Хотя эти инциденты выявляют хрупкость логики верификатора, они также предоставляют критически важные данные для разработчиков и аудиторов, позволяя укрепить протоколы до повторения подобных эксплойтов. Например, эксплойт FOOMCASH побудил несколько команд разработать автоматизированные анализаторы ключей верификации и усовершенствованные фьюзинг-фреймворки, адаптированные для ZK-схем, что подчеркивает прямую связь между реальными сбоями и появлением новых инструментов безопасности.
 
Ведущие проекты в этой области, включая ZKSync, Scroll и zkRollups от Polygon, начали интегрировать конвейеры формальной верификации непосредственно в свой жизненный цикл разработки. Эти инструменты математически обеспечивают соответствие ограничений ZK-схемы предполагаемой логике, снижая риск того, что злоумышленник сможет сгенерировать доказательство, которое система ошибочно примет.
 
В то же время продвинутые фреймворки для фаззинга, такие как zkFuzz, были усовершенствованы для моделирования крайних случаев в доказательствах, которые ранее было невозможно обнаружить, и позволили выявить десятки скрытых уязвимостей как в академических, так и в производственных схемах.
 
Эти инновации демонстрируют, что каждая уязвимость способствует формированию позитивной обратной связи: выявляя слабые места, сообщество блокчейна ускоряет разработку более надежных протоколов. Разработчики, ориентированные на безопасность, теперь подходят к реализации ZK-доказательств с методологией «быстро терпеть неудачи, быстро учиться», постоянно аудитируя, тестируя и улучшая схемы. Таким образом, неудачи сегодня становятся фундаментом безопасности завтра, превращая потенциально катастрофические уроки в структурированные улучшения, которые выгодны всей экосистеме.
 
Результатом становится формирующийся стандарт, при котором ZK-развертывания высокой ценности не только более безопасны, но и более устойчивы к ранее неизвестным классам логических ошибок, что демонстрирует, что инновации и снижение рисков часто развиваются рука об руку в экосистеме доказательств с нулевым разглашением.

Заключение — Обещание и риск

Доказательства с нулевым разглашением остаются одной из самых мощных и трансформирующих технологий в блокчейне сегодня. Они обеспечивают масштабируемость и конфиденциальность в огромных масштабах. Но история хакерских атак на DeFi показывает, что самые разрушительные уязвимости редко находятся в очевидных местах. Небольшой логический баг в системе проверки может тихо подорвать весь протокол.
 
Хотя ни один единственный эксплойт ZK-доказательства пока не привел к потерям ровно в 120 млн долларов, десятки задокументированных логических ошибок, эксплуатируемых инцидентов и академических исследований показывают, что логика верификации представляет реальный финансовый риск. Криптоиндустрия реагирует более строгими методами, но урок ясен: криптография безопасна только тогда, когда ее реализация абсолютно надежна, и это до сих пор работа в прогрессе для многих систем нулевого знания.

ЧАВО — Риски проверки с использованием доказательств с нулевым разглашением

В1: Являются ли доказательства с нулевым разглашением изначально небезопасными?

Нет. Криптографические основы математически надежны, но ошибки в реализации и логике проверки могут подорвать эту надежность.
 

Q2: Привели ли ошибки в ZK-доказательствах к реальным потерям в миллионы долларов?

Да, например, эксплуатация FOOMCASH привела к потере более 2,26 млн долларов из-за ошибки в логике верификатора.
 

В3: Может ли ошибка в ZK-верификаторе привести к потерям в миллиарды долларов?

В теории да, поскольку логика верификации находится на уровне доверия системы. Однако до сих пор ни один единственный задокументированный инцидент не привел к убыткам в размере 120 млн долларов. Однако исследования показывают, что совокупный системный риск значителен.
 

Q4: Почему эти ошибки трудно обнаружить?

Стандартные инструменты аудита не адаптированы для логики криптографических схем, которая математически сложна и трудна для проверки без формальных инструментов.

Отказ от ответственности

Этот материал предназначен исключительно для информационных целей и не является инвестиционной рекомендацией. Инвестиции в криптовалюты сопряжены с рисками. Проведите собственное исследование (DYOR).
 

Отказ от ответственности: Эта страница была переведена для вашего удобства с использованием технологии искусственного интеллекта (на базе GPT). Для получения наиболее точной информации обратитесь к оригинальной английской версии.