Présentation du problème
La technologie de vérification de preuves à connaissance nulle (ZK) est utilisée pour garantir la confidentialité et la sécurité des transactions dans les systèmes de cryptographie. Cependant, les bibliothèques ZK peuvent contenir des failles de sécurité qui compromettent la sécurité globale du système. Récemment, une faille critique a été découverte dans la bibliothèque OpenVM, qui est utilisée pour les preuves ZK.
Contexte technique
La faille de sécurité a été découverte grâce à l'utilisation d'un outil d'audit basé sur l'intelligence artificielle (IA) appelé zkao. Cet outil a été conçu pour analyser les bibliothèques ZK et détecter les failles de sécurité potentielles. Dans ce cas, zkao a identifié une faille dans la bibliothèque openvm-pairing, qui est utilisée pour les preuves ZK.
Implications et limites
La faille de sécurité découverte dans la bibliothèque OpenVM peut être exploitée par un attaquant pour falsifier les preuves ZK, ce qui compromet la sécurité du système. Cependant, il est important de noter que la faille n'affecte que les codes qui utilisent la bibliothèque vulnérable et non le système de preuve ZK lui-même. La faille a été corrigée dans la version 1.6.0 d'OpenVM.
Analyse scientifique
La découverte de cette faille de sécurité souligne l'importance de l'utilisation d'outils d'audit basés sur l'IA pour détecter les failles de sécurité potentielles dans les bibliothèques ZK. Cependant, il est également important de noter que les outils d'audit basés sur l'IA ne sont pas parfaits et peuvent ne pas détecter toutes les failles de sécurité potentielles. Il est donc important de combiner les outils d'audit basés sur l'IA avec d'autres méthodes de test et de validation pour garantir la sécurité des systèmes de cryptographie.
La formule de la paire est :
e : G_1 x G_2 -> G_T
La faille de sécurité a été corrigée en ajoutant une vérification de la sous-champ de mise à l'échelle dans la bibliothèque openvm-pairing.