Attacker can bypass cryptography and prove mathematically impossible statements
2 months ago
- #Cryptography
- #Fiat-Shamir
- #zkVM
- zkVM验证器必须确保其公开声明真实可信;若声明虚假,验证必须失败。
- 六个系统(Jolt、Nexus、Cairo-M、Ceno、Expander、Binius64)存在漏洞:在生成挑战前,公开声明数据未绑定至Fiat-Shamir交互记录中。
- 该漏洞允许攻击者绕过密码学约束,证明虚假陈述(例如费马大定理的反例)。
- 核心术语解释:Fiat-Shamir、交互记录、多项式承诺、和校验、MLE、查找/LogUp、AIR、STARK、FRI、OODS、GKR。
- zkVM证明声称程序在公开输入下正确执行(隐藏执行轨迹),通过对承诺多项式的代数约束进行验证。
- 可靠性至关重要:诚实执行必须通过验证(完备性),虚假执行必须失败(可靠性)。
- 通用攻击模式:若数值未绑定至交互记录,挑战将独立生成,使攻击者可篡改数值求解。
- 各系统漏洞详情(Jolt、Nexus、Cairo-M、Ceno、Expander、Binius64):验证方程中未绑定的数值导致问题。
- 系统性缺陷:学术论文忽略Fiat-Shamir细节、模块化设计遗漏绑定、优化压力排除哈希步骤、测试未覆盖对抗性输入。
- 预防措施:合并证明与交互记录以自动吸收数值,确保在采样挑战前绑定声明数据。
- 负责任披露时间线显示多数系统已修复,仍有一个未解决漏洞。
- 提供实践攻击的挑战(例如寻找费马大定理反例)。
- 关键结论:Fiat-Shamir漏洞普遍存在;审计者需追踪数据流与交互记录绑定;开发者应视交互记录为神圣不可篡改。