Após a divulgação potencial de vulnerabilidades no SP1 de forma sucinta, a empresa lançou uma versão de correção. Críticos afirmam que o processo de comunicação foi carente de transparência.

Odaily Daily Planet News LambdaClass recently disclosed a serious security vulnerability in the Prova de conhecimento zero infrastructure company Succinct SP1 ZKVM proof generation process, which has since been subject to strict review. The vulnerability in SP1 version 3 was discovered in collaboration with 3Mi Labs and Aligned and originated from the interaction of two independent security vulnerabilities. Succinct previously disclosed this potential vulnerability to its users through Github and Telegram. Although the vulnerability was quickly resolved before disclosure, this process raised concerns about the transparency of security practices in Zero-Knowledge Virtual Machine (ZKVM). The technical goals of SP1 are currently supporting the upgrade of the developing rollup infrastructure: -A Rede Mantle já integrada com SP1 para transição para rollup de validade ZK, com o objetivo de reduzir o tempo de conclusão das transações e apoiar a compensação de ativos de nível institucional;

• AggLayer uses SP1 to generate pessimistic proofs to ensure the security of its cross-chain interoperability solution;
• O Taiko adotou o SP1 como provador de conhecimento zero para proteger a execução L2 de seu sistema de múltiplos provadores - ZK (zk-SNARKs); -Soon é um projeto relativamente novo que está construindo uma estrutura de rollup SVM, que liquida na Ethereum usando provas de falha ZK suportadas pela SP1, semelhante ao Eclipse, que utiliza o RISC Zero. LambdaClass avisa que o impacto total dessa vulnerabilidade precisa ser avaliado mais a fundo. É importante notar que a exploração da vulnerabilidade depende da interação entre dois problemas, o que significa que corrigir um problema pode não ser suficiente para impedir a sua exploração. O desenvolvedor da LambdaClass, Fede, enfatizou nas redes sociais que sua equipe sentiu a necessidade de divulgar publicamente o problema depois de perceber que não havia senso de urgência em relação ao Succinct. Segundo Anurag Arjun da Avail, a liderança do Succinct agiu de forma responsável na resolução do problema, mas concorda que é necessário um melhor processo de divulgação pública. Arjun confirmou que sua equipe tomou conhecimento do problema antes da divulgação pública da vulnerabilidade. A implantação da Avail não estava em risco, uma vez que eles dependem de um verificador de provas proprietário do Succinct, que ainda está em estado de licença. O cliente rollup da Avail ainda não começou a usar seu contrato de ponte impulsionado pelo SP1, portanto, não houve impacto real. Entretanto, os apoiantes do Succinct observam que a divulgação responsável geralmente envolve a apresentação de relatórios privados antes da declaração pública, a fim de evitar pânico desnecessário e potencial exploração. Além disso, a versão atualizada do SP1 do Succinct 4 (chamada de Turbo) resolveu as vulnerabilidades encontradas e os projetos downstream começaram a integrar essas correções. (Blockworks)