Après avoir révélé une faille potentielle dans SP1 de manière succincte, une version de correction a été publiée, les critiques ont déclaré que le processus de communication manquait de transparence.

Odaily News from Planet LambdaClass recently disclosed a serious security vulnerability in the proof generation process of Zéro Knowledge Proof infrastructure company Succinct SP1 ZKVM, which has since undergone rigorous review. The vulnerability in version 3 of SP1 was discovered in collaboration with 3Mi Labs and Aligned, and is due to the interaction of two independent security vulnerabilities. Succinct a précédemment divulgué cette vulnérabilité à ses utilisateurs via Github et Telegram. Bien que la vulnérabilité ait été rapidement résolue avant d’être divulguée, ce processus a suscité des préoccupations quant à la transparence des pratiques de sécurité de la machine virtuelle à connaissance nulle (zk-SNARKs). Les technologies de SP1 soutiennent actuellement la mise à niveau de l’infrastructure rollup en cours de développement :

• Mantle Network a intégré SP1 pour passer à ZK Rollup de validité dans le but de réduire le temps de traitement des transactions et de prendre en charge le règlement des actifs de niveau institutionnel;
• AggLayer utilise SP1 pour générer une preuve pessimiste afin de garantir la sécurité de sa solution d’interopérabilité inter-chaînes. -Taiko a adopté SP1 comme prouveur ZK pour protéger son exécution L2 utilisant un système à plusieurs prouveurs; -Soon is a relatively new project that is building an SVM rollup framework that settles on Ethereum using ZK fault proofs supported by SP1, similar to Eclipse which uses RISC Zero. LambdaClass a averti que l’impact complet de cette vulnérabilité nécessite une évaluation plus approfondie. Il est à noter que l’exploitation de la vulnérabilité dépend de l’interaction entre deux problèmes, ce qui signifie que la correction d’un problème peut ne pas suffire à empêcher l’exploitation de la vulnérabilité. Fede, développeur de LambdaClass, a souligné sur les réseaux sociaux que son équipe a jugé nécessaire de divulguer publiquement le problème après avoir constaté le manque d’urgence de Succinct à ce sujet. Selon Anurag Arjun d’Avail, la direction de Succinct a pris des mesures responsables pour corriger le problème, mais il convient qu’une meilleure divulgation publique est nécessaire. Arjun a confirmé que son équipe était au courant du problème avant sa divulgation. Le déploiement d’Avail n’a pas été exposé à un risque car ils s’appuient sur un vérificateur de preuves propriétaire de Succinct, qui est toujours sous licence. Le client rollup d’Avail n’a pas encore commencé à utiliser son contrat de pont alimenté par SP1, donc il n’a pas eu d’impact réel. Pendant ce temps, les partisans de Succinct font valoir que la divulgation responsable implique généralement un signalement privé avant toute déclaration publique, afin d’éviter toute panique inutile et toute utilisation potentielle. En outre, la version mise à jour SP1 4 (appelée Turbo) de Succinct a résolu les vulnérabilités découvertes et les projets en aval ont commencé à intégrer ces correctifs. (Blockworks)