Sau khi Succinct tiết lộ lỗ hổng tiềm năng SP1, họ đã phát hành phiên bản vá lỗi, nhưng nhận được chỉ trích vì quá trình giao tiếp thiếu minh bạch.

Odaily Star Daily News LambdaClass recently revealed a serious security vulnerability in the proof generation process of the infrastructure company Succinct SP1 ZKVM, which has since undergone strict review. The vulnerability in version 3 of SP1 was discovered in collaboration with 3Mi Labs and Aligned and is due to the interaction of two independent security vulnerabilities. Succinct trước đó đã tiết lộ lỗ hổng tiềm ẩn này cho người dùng thông qua Github và Telegram. Mặc dù lỗ hổng này đã được giải quyết nhanh chóng trước khi tiết lộ, nhưng quá trình này đã gây ra lo ngại về tính minh bạch của thực hành an toàn của máy ảo không chứng minh (ZKVM). Công nghệ của SP1 hiện đang hỗ trợ việc nâng cấp cơ sở hạ tầng rollup đang phát triển:

• Mantle Network đã tích hợp SP1 để chuyển sang ZK ứng dụng rollup hiệu quả, nhằm rút ngắn thời gian hoàn thành giao dịch và hỗ trợ thanh toán tài sản cấp viện trên hệ thống. -AggLayer sử dụng SP1 để tạo ra chứng minh bi quan, đảm bảo tính an toàn của giải pháp tương tác qua chuỗi. -Taiko đã sử dụng SP1 làm công cụ chứng minh ZK để bảo vệ việc thực hiện L2 sử dụng hệ thống đa chứng minh của mình; -Soon là một dự án tương đối mới, đang xây dựng một khung gửi rollup SVM, sử dụng chứng minh lỗi ZK được hỗ trợ bởi SP1 để thanh toán lên Ethereum, tương tự như Eclipse, trong đó sử dụng RISC Zero. LambdaClass cảnh báo rằng tất cả các ảnh hưởng của lỗ hổng này cần được đánh giá kỹ hơn. Đáng chú ý là việc khai thác lỗ hổng phụ thuộc vào sự tương tác giữa hai vấn đề, điều này có nghĩa là việc sửa một vấn đề có thể không đủ để ngăn chặn việc khai thác lỗ hổng. Nhà phát triển LambdaClass Fede đã nhấn mạnh trên mạng xã hội rằng sau khi nhận thấy việc thiếu sự cấp bách của vấn đề Succinct, đội của anh ta cảm thấy cần phải tiết lộ công khai vấn đề đó. Theo Anurag Arjun của Avail, ban lãnh đạo của Succinct đã hành động trách nhiệm trong việc khắc phục vấn đề này, nhưng ông đồng ý rằng cần phải có phương pháp tiết lộ công khai tốt hơn. Arjun xác nhận rằng nhóm của ông đã biết về vấn đề này trước khi vấn đề được tiết lộ công khai. Triển khai của Avail không đối mặt với rủi ro vì họ phụ thuộc vào chứng minh viên độc quyền của Succinct, chứng minh viên này vẫn ở trạng thái cấp phép. Khách hàng rollup của Avail chưa bắt đầu sử dụng hợp đồng cầu nối được điều khiển bởi SP1 của họ, do đó không có tác động thực tế. Trong khi đó, người ủng hộ của Succinct chỉ ra rằng việc tiết lộ chịu trách nhiệm thường liên quan đến việc báo cáo riêng tư trước khi công bố công khai, nhằm tránh sự hoang mang không cần thiết và nguy cơ lợi dụng tiềm ẩn. Ngoài ra, phiên bản cập nhật SP1 của Succinct 4 (gọi là Turbo) đã giải quyết các lỗ hổng được phát hiện, các dự án phụ đã bắt đầu tích hợp các bản vá này. (Blockworks)