Trong khi khám phá @boundless_xyz eco, tôi đã phát hiện ra một trường hợp sử dụng thú vị trong các ứng dụng của @RiscZero R0VM: ZK Proof of Exploit - zkPoEx. Trong số tất cả các lỗi, những lỗi nghiêm trọng nhất là những lỗi tồn tại trong các sản phẩm đang hoạt động. Trong lĩnh vực tiền điện tử, vì các lỗ hổng nghiêm trọng ngay lập tức dẫn đến việc khai thác quỹ, giá trị tiền tệ của các lỗi đang hoạt động là rất cao. Thông thường, khi các lỗi như vậy được phát hiện, các nền tảng thưởng lỗi như @immunefi hoặc @HackenProof hoạt động như những trung gian để xác minh tính xác thực và mức độ nghiêm trọng của lỗi và thương lượng phần thưởng. Cấu trúc này có một vấn đề: chi tiết về lỗi phải được tiết lộ trước khi người báo cáo nhận được phần thưởng. Từ góc độ của dự án, sau khi nhận được báo cáo lỗi và xem xét nó, họ có thể vá lỗi và sau đó tuyên bố rằng nó "ngoài phạm vi" hoặc hạ cấp độ nghiêm trọng của nó. Trong những trường hợp cực kỳ nghiêm trọng, các trung gian có thể thấy lỗ hổng và khai thác nó trước. zkPoEx, thông qua RiscZero's R0VM, cho phép chứng minh sự tồn tại của một lỗ hổng bằng chứng ZK mà không tiết lộ chi tiết về lỗi. Vì nó có thể chứng minh rằng một lỗi thỏa mãn các điều kiện nhất định tồn tại, những người tìm lỗi có thể mong đợi phản hồi hợp tác hơn từ các dự án, chẳng hạn như yêu cầu thanh toán một phần trước. Để giải thích chi tiết hơn, người báo cáo sử dụng calldata/hợp đồng khai thác làm đầu vào riêng tư và trạng thái thời điểm tấn công làm đầu vào công khai để thay đổi các giá trị trạng thái của hợp đồng mục tiêu trong R0VM. Sau khi thực hiện, biên nhận tx và bằng chứng được tạo ra bởi R0VM Prover có thể xác minh xem cuộc tấn công có thỏa mãn các điều kiện cụ thể hay không, chẳng hạn như thay đổi số dư. Cá nhân tôi nghĩ rằng phương pháp này khá hữu ích cho việc báo cáo các lỗ hổng đang hoạt động, nhưng tôi chưa thấy bất kỳ trường hợp nào mà các lỗi đã được báo cáo bằng cách sử dụng phương pháp này. Có vẻ như điều này là do các dự án cần cung cấp các điều kiện trước... Nếu một hệ thống như vậy thực sự khó triển khai trong thực tế, tôi muốn biết những thách thức sẽ là gì.
896