CVE-2025-30147-مورد کنجکاو بررسی زیر گروه در BESU

با تشکر از ماریوس وان در ویجدن برای ایجاد پرونده آزمون و Statetest و برای کمک به تیم BESU برای تأیید مسئله. همچنین ، Kudos به تیم BESU ، تیم امنیتی EF و Kevaundray Wedderburn. علاوه بر این ، به لطف Yuxiang Qiu ، Justin Traglia ، Marius van der Wijden ، Benedikt Wagner و Kevaundray Wedderburn برای تصحیح. اگر سؤال/نظر دیگری دارید ، مرا در توییتر پیدا کنید asanso

TL ؛ دکتر: مشتری اعدام BESU Ethereum نسخه 25.2.2 از a رنج می برد مسئله اجماع مربوط به EIP-196/EIP-197 رسیدگی به قرارداد پیش فرض برای منحنی بیضوی alt_bn128 (با نام مستعار BN254). مسئله در آزادی برطرف شد 25.3.0بشر
در اینجا گزارش کامل CVE است.

NB: بخشی از این پست به دانش در مورد منحنی های بیضوی (رمزنگاری) نیاز دارد.

مقدمه

در BN254 منحنی (همچنین به عنوان شناخته می شود alt_bn128) منحنی بیضوی است که در اتریوم برای عملیات رمزنگاری استفاده می شود. این عملیات مانند رمزنگاری منحنی بیضوی را پشتیبانی می کند و آن را برای ویژگی های مختلف اتریوم بسیار مهم می کند. قبل از EIP-2537 و انتشار اخیر PECTRA ، BN254 تنها منحنی جفت شدن توسط دستگاه مجازی Ethereum (EVM) پشتیبانی می شد. EIP-196 وت EIP-197 قراردادهای پیش ساخته را برای محاسبه کارآمد بر روی این منحنی تعریف کنید. برای اطلاعات بیشتر در مورد BN254، می توانید بخوانید در اینجابشر

یک آسیب پذیری امنیتی قابل توجه در رمزنگاری منحنی بیضوی است حمله منحنی نامعتبر، برای اولین بار در مقاله معرفی شده است “حملات گسل دیفرانسیل به رمزنگاری منحنی بیضوی”بشر این حمله استفاده از نقاطی را که بر روی منحنی بیضوی صحیح نهفته نیست ، هدف قرار می دهد و منجر به مشکلات امنیتی احتمالی در پروتکل های رمزنگاری می شود. برای منحنی های سفارش غیرقانونی (مانند آنهایی که در رمزنگاری مبتنی بر جفت و در ظاهر می شوند جف2g_2جف2​ برای BN254) ، به ویژه مهم است که نکته در زیر گروه صحیح استبشر اگر این نقطه متعلق به زیر گروه صحیح نباشد ، می توان عملیات رمزنگاری را دستکاری کرد ، و به طور بالقوه امنیت سیستم هایی را که به رمزنگاری منحنی بیضوی متکی هستند ، به خطر می اندازد.

برای بررسی یک نکته پ در رمزنگاری منحنی بیضوی معتبر است ، باید تأیید کرد که نقطه روی منحنی نهفته است و به زیر گروه صحیح تعلق دارد. این به ویژه در مورد نکته بسیار مهم است پ از یک منبع غیر قابل اعتماد یا بالقوه مخرب ناشی می شود ، زیرا نقاط نامعتبر یا خاص ساخته شده می تواند منجر به آسیب پذیری های امنیتی شود. در زیر شبه کد این روند را نشان می دهد:

# Pseudocode for checking if point P is valid
def is_valid_point(P):
    if not is_on_curve(P):    
        return False
    if not is_in_subgroup(P):
        return False
    return True

چک های عضویت در زیر گروه

همانطور که در بالا ذکر شد ، هنگام کار با هر نقطه از منشأ ناشناخته ، تأیید این که متعلق به زیر گروه صحیح است ، علاوه بر تأیید این نکته که این نکته بر روی منحنی صحیح نهفته است ، بسیار مهم است. برای BN254، این فقط برای جف2g_2جف2​، چون جف1G_1جف1​ از نظم اصلی است روشی ساده برای آزمایش عضویت در جفجفجف این است که یک نقطه را به ترتیب اصلی زیر گروه ضرب کنید حرفحرفحرف؛ اگر نتیجه عنصر هویت باشد ، نقطه در زیر گروه است. با این حال ، این روش به دلیل اندازه زیاد نخست می تواند در عمل پر هزینه باشد حرفحرفحرف، به خصوص برای جف2g_2جف2​بشر در سال 2021 ، اسکات پیشنهاد داد یک روش سریعتر برای آزمایش عضویت در زیر گروه بر روی منحنی های BLS12 با استفاده از یک محاسبه به راحتی قابل محاسبه رونوشت، ساخت فرآیند 2 × ، 4 × و 4 × سریعتر برای گروه های مختلف (این تکنیک روشی است که در آن مشخص شده است EIP-2537 برای بررسی سریع زیر گروه ، همانطور که در این سند). بعداً ، دای و همکاران. تکنیک اسکات تعمیم یافته برای کار برای طیف وسیعی از منحنی ها ، از جمله منحنی های BN ، باعث کاهش تعداد عملیات مورد نیاز برای بررسی های عضویت در زیر گروه می شود. در بعضی موارد ، این روند تقریباً رایگان است. Koshelev همچنین روشی را برای منحنی های غیر جفت گیری دوستانه معرفی کرد با استفاده از جفت تیت، که سرانجام بیشتر بود به منحنی های دوستانه جفت شدن تعمیم یافته است.

سایه باریک واقعی

همانطور که از جدول زمانی در پایان این پست مشاهده می کنید ، ما گزارشی در مورد یک اشکال تأثیرگذار دریافت کردیم PECTRA EIP-2537 در BESU ، ارسال شده از طریق رقابت حسابرسی PECTRAبشر ما فقط در اینجا به آرامی در مورد این مسئله صحبت می کنیم ، در صورتی که گزارشگر اصلی بخواهد آن را با جزئیات بیشتری بپوشاند. این پست به طور خاص روی BN254 تمرکز دارد EIP-196/EIP-197 آسیب پذیریبشر

گزارشگر اصلی مشاهده کرد که در Besu ، is_in_subgroup چک قبل از انجام is_on_curve بررسی کنید در اینجا نمونه ای از آنچه ممکن است به نظر برسد آورده شده است:

# Pseudocode for checking if point P is valid
def is_valid_point(P):
    if not is_in_subgroup(P):    
        if not is_on_curve(P):
            return False  
        return False
    return True

با توجه به موضوع فوق در منحنی BLS ، تصمیم گرفتیم نگاهی به کد BESU برای منحنی BN بیندازیم. در کمال تعجب من ، ما چیزی پیدا کردیم مثل این:

# Pseudocode for checking if point P is valid
def is_valid_point(P):
    if not is_in_subgroup(P):    
        return False
    return True

صبر کن ، چی؟ کجاست is_on_curve بررسی کنید؟ دقیقاًیکی نیست !!!

اکنون ، به طور بالقوه دور زدن is_valid_point عملکرد ، تنها کاری که باید انجام دهید ارائه یک نکته است که در زیر گروه صحیح قرار دارد اما در واقع روی منحنی نیستبشر

اما صبر کنید – آیا این حتی ممکن است؟

خوب ، بله-اما فقط برای منحنی های خاص و خوب انتخاب شده. به طور خاص ، اگر دو منحنی باشد دارای رنگارنگآنها همان ساختار گروهی را به اشتراک می گذارند ، به این معنی که می توانید یک نقطه از منحنی ایزومورفیک را که چک های زیر گروه را می گذرد ، تهیه کنید اما روی منحنی مورد نظر قرار نمی گیرد.

دزدکی ، درست است؟

آیا شما گفتید isomorpshism؟

اگر علاقه ای به جزئیات ندارید ، می توانید از این بخش پرش کنید – ما قصد داریم کمی عمیق تر به ریاضیات برویم.

اجازه دادن جسعدی\ Mathbb {f} _qجسعدی​ یک میدان محدود با مشخصه متفاوت از 2 و 3 باشد ، به معنی سعدی=پجq = p^fسعدی=پج برای برخی از نخست پ≥5p \ geq 5پ≥5 و عدد صحیح ج≥1f \ geq 1ج≥1بشر ما منحنی های بیضوی را در نظر می گیریم اشمیهاشمیهاشمیه بیش از جسعدی\ Mathbb {f} _qجسعدی​ داده شده توسط معادله کوتاه ویرسترا:

کجا بوهابوهابوها وت شرحشرحشرح ثابت کننده هستند 4بوها3با27شرح2یه04a^3 + 27b^2 \ neq 04بوها3با27شرح2=0.^[This condition ensures the curve is non-singular; if it were violated, the equation would define a singular point lacking a well-defined tangent, making it impossible to perform meaningful self-addition. In such cases, the object is not technically an elliptic curve.]

ایزومورفیسم منحنی

دو منحنی بیضوی در نظر گرفته شده است دارای رنگارنگ^[To exploit the vulnerabilities described here, we really want isomorphic curves, not just isogenous curves.] اگر آنها با تغییر متغیرها در ارتباط باشند. چنین تحولات ساختار گروه را حفظ می کند و اطمینان حاصل می کند که علاوه بر این نقطه همچنان سازگار است. می توان نشان داد که تنها تحولات ممکن بین دو منحنی به شکل کوتاه ویرسترا شکل شکل می گیرد:

برای برخی از افراد غیر اشمیهمثلجسعدیe \ in \ mathbb {f} _qاشمیهمثلجسعدی​بشر استفاده از این تحول در معادله منحنی در:

در jjj-برایا منحنی به این صورت تعریف شده است:

هر عنصر از جسعدی\ Mathbb {f} _qجسعدی​ می تواند یک امکان پذیر باشد jjj-Invariant.^[Both BLS and BN curves have a j-invariant equal to 0, which is really special.] وقتی دو منحنی بیضوی یکسان هستند jjj-عار ، آنها هم هستند دارای رنگارنگ (به معنایی که در بالا توضیح داده شد) یا آنها هستند پیچ و تاب از یکدیگر.^[We omit the discussion about twists here, as they are not relevant to this case.]

استثماری

در این مرحله ، تمام آنچه باقی مانده است ، تهیه یک نقطه مناسب بر روی منحنی با دقت انتخاب شده و voilà—le jeu est faitبشر

می توانید بردار آزمون را با استفاده از آن امتحان کنید این لینک و از سواری لذت ببرید.

پایان

در این پست ، ما در مورد آسیب پذیری در اجرای BESU از چک های منحنی بیضوی بررسی کردیم. این نقص ، در صورت سوءاستفاده ، می تواند به یک مهاجم اجازه دهد تا نکته ای را که چک های عضویت زیر گروه را پشت سر می گذارد ، ترسیم کند اما روی منحنی واقعی نهفته است. تیم BESU از آن زمان در نسخه 25.3.0 به این موضوع پرداخته است. در حالی که این مسئله به BESU منزوی شده بود و سایر مشتری ها را تحت تأثیر قرار نمی داد ، اختلافات مانند این نگرانی های مهم برای اکوسیستم های چند مشتری مانند Ethereum را ایجاد می کند. عدم تطابق در بررسی های رمزنگاری بین مشتری می تواند منجر به رفتار واگرا شود – جایی که یک مشتری معامله را قبول می کند یا مسدود می کند که دیگری را رد می کند. این نوع ناسازگاری می تواند اجماع را به خطر بیندازد و اعتماد به یکنواختی شبکه را تضعیف کند ، به ویژه هنگامی که اشکالات ظریف در طول پیاده سازی ها مورد توجه قرار نمی گیرد. این حادثه نشان می دهد که چرا آزمایش دقیق و شیوه های امنیتی قوی کاملاً ضروری است – به ویژه در سیستم های blockchain ، جایی که حتی اشتباهات رمزنگاری جزئی می تواند به آسیب پذیری های عمده سیستمیک تبدیل شود. ابتکاراتی مانند رقابت حسابرسی PECTRA قبل از رسیدن به تولید ، نقش مهمی در ظاهر شدن فعالانه این موضوعات دارد. با تشویق چشمان متنوع به بررسی کد ، چنین تلاش هایی باعث تقویت مقاومت کلی اکوسیستم می شود.

جدول زمانی

• 15-03-2025-اشکال بر PECTRA EIP-2537 در BESU گزارش شده از طریق رقابت حسابرسی PECTRAبشر
• 17-03-2025-شماره EIP-196/EIP-197 را به تیم BESU کشف و گزارش داد.
• 17-03-2025-ماریوس وان در ویجدن یک مورد آزمایش و statetest برای تولید مثل مسئله ایجاد کرد.
• 17-03-2025-تیم BESU فوراً تصدیق کرد و ثابت مسئله