A firma de auditoria de segurança blockchain ChainLight identificou uma vulnerabilidade crítica no protocolo zkSync Era que poderia ter resultado em perdas potenciais de até US$ 1,9 bilhões. A falha estava nos zk-circuits do zkSync Era, que são projetados para validar a correção dos dados das transações sem expor detalhes sensíveis.
Saving $1.9B.
On September 15th, we discovered and reported a critical bug in @zkSync Era's ZK-Circuits that could have drained all the tokens passing through the bridge.
This bug allows a malicious prover to produce "proofs" for invalidly executed blocks, which the verifier… pic.twitter.com/GH8ZD0fqhv
— ChainLight (@ChainLight_io) November 2, 2023
Um post no blog da ChainLight detalhou que o bug permitiria a um ator mal-intencionado manipular transações dentro de um bloco e ainda assim ter essas transações verificadas como precisas.
Anton Astafiev, chefe de segurança da Matter Labs, afirmou que explorar esse bug exigiria o mais alto nível de privilégio de segurança em toda a sua infraestrutura. Astafiev destacou que a equipe da Matter Labs está ansiosa pela colaboração contínua com a ChainLight e outras organizações focadas em segurança.
Essas descobertas são lembretes importantes de por que arquiteturas de defesa em múltiplas camadas, como as implementadas pela Matter Labs para o zkSync, são tão críticas; nenhuma camada única de proteção é perfeitamente segura, o que significa que não pode haver um único ponto de falha.
A importância da vigilância em blockchain
O zkSync Era não estava desprovido de medidas protetoras. Apesar do potencial devastador do exploit, uma estrutura de segurança elaborada cercava o protocolo, tornando extremamente difícil para qualquer entidade externa explorar essa vulnerabilidade.
A infraestrutura de segurança foi desenvolvida pela Matter Labs, que lidera o zkSync Era, e incluía um atraso de execução obrigatório de 21 horas antes que qualquer fundo pudesse ser extraído, adicionando uma camada adicional de proteção.
Pela detecção atenta, a ChainLight foi recompensada com 50.000 USDC. O incidente sublinha a vitalidade da vigilância incessante e da resolução oportuna de vulnerabilidades como um testemunho da força e resiliência da comunidade blockchain.
Segurança blockchain: um compromisso comunitário
A detecção proativa e a resolução oportuna de vulnerabilidades são fundamentais para a força e resiliência da comunidade blockchain. A ChainLight exemplificou a importância de auditorias meticulosas, que são essenciais para identificar e corrigir falhas antes que elas possam ser exploradas.
O incidente reforça o compromisso da comunidade blockchain em assegurar a segurança e a confiança de seus usuários. A capacidade de responder prontamente a descobertas críticas e recompensar aqueles que as identificam é um aspecto chave para promover um ambiente seguro para todos os participantes do ecossistema.
