Vulnérabilité BN254 de Besu: le chèque de sous-groupe Flaw expose les risques de sécurité

Une vulnérabilité critique dans le client Ethereum de Besu lié aux vérifications de sous-groupe sur la courbe BN254 a été abordée. Ce défaut aurait pu potentiellement compromettre la sécurité cryptographique.

A critical vulnerability in Besu, an Ethereum execution client, has been addressed. This flaw, which involved an improper subgroup check on the BN254 curve, could have had broader implications for cryptographic security in the Ethereum ecosystem.

Une vulnérabilité critique à Besu, un client d'Ethereum Execution, a été abordée. Ce défaut, qui impliquait une vérification inappropriée de sous-groupe sur la courbe BN254, aurait pu avoir des implications plus larges pour la sécurité cryptographique dans l'écosystème Ethereum.

As explained in an analysis by the Ethereum Foundation, the issue arose due to a misplaced subgroup membership check in elliptic curve operations. This flaw, present in version 25.2.2 of Besu, had the potential to disrupt the consensus mechanism by allowing an attacker to manipulate cryptographic computations.

Comme expliqué dans une analyse de la Fondation Ethereum, la question s'est posée en raison d'un contrôle d'adhésion en sous-groupe déplacé dans les opérations de courbe elliptique. Ce défaut, présent dans la version 25.2.2 de Besu, avait le potentiel de perturber le mécanisme consensuel en permettant à un attaquant de manipuler les calculs cryptographiques.

At the heart of this vulnerability lies the BN254 curve, also known as alt_bn128. This curve, the sole pairing curve supported by the Ethereum Virtual Machine (EVM) prior to EIP-2537, is used for cryptographic functions within Ethereum. Notably, it forms the basis for precompiled contracts defined under EIP-196 and EIP-197, enabling efficient computation on the curve.

Au cœur de cette vulnérabilité se trouve la courbe BN254, également connue sous le nom d'ALT_BN128. Cette courbe, la seule courbe d'appariement prise en charge par la machine virtuelle Ethereum (EVM) avant EIP-2537, est utilisée pour les fonctions cryptographiques dans Ethereum. Notamment, il constitue la base des contrats précompilés définis dans les EIP-196 et EIP-197, permettant un calcul efficace sur la courbe.

A common security concern in elliptic curve cryptography is the invalid curve attack, which occurs when a point does not lie on the correct curve. This is especially relevant for non-prime order curves like BN254 used in pairing-based cryptography, where ensuring a point belongs to the correct subgroup is crucial. Failure to do so can open doors for attackers to interfere with cryptographic operations.

Une préoccupation de sécurité commune dans la cryptographie de la courbe elliptique est l'attaque de courbe non valide, qui se produit lorsqu'un point ne se trouve pas sur la bonne courbe. Ceci est particulièrement pertinent pour les courbes d'ordre non prison comme BN254 utilisées dans la cryptographie basée sur l'appariement, où s'assurer qu'un point appartient au sous-groupe correct est crucial. Ne pas le faire peut ouvrir des portes aux attaquants pour interférer avec les opérations cryptographiques.

In Besu's case, the vulnerability arose because the subgroup membership check was performed before verifying if the point was on the curve. This sequence error could allow a point that is within the correct subgroup but off the curve to slip through security checks.

Dans le cas de Besu, la vulnérabilité est née parce que le contrôle d'adhésion du sous-groupe a été effectué avant de vérifier si le point était sur la courbe. Cette erreur de séquence pourrait permettre un point qui se trouve dans le sous-groupe correct mais hors de la courbe pour passer à travers des vérifications de sécurité.

To validate a point P, both the curve and subgroup membership need to be confirmed. A point P is on the curve if it satisfies the equation y² = x³ + 486662 x + 1. To check subgroup membership, you multiply the point P by the subgroup's prime order. If the result is the identity element, then the point is in the subgroup.

Pour valider un point P, la courbe et l'adhésion au sous-groupe doivent être confirmées. Un point P est sur la courbe s'il satisfait l'équation y² = x³ + 486662 x + 1. Pour vérifier l'appartenance du sous-groupe, vous multipliez le point P par l'ordre principal du sous-groupe. Si le résultat est l'élément d'identité, alors le point est dans le sous-groupe.

However, in Besu's implementation, the order of these checks was reversed, which could have allowed an attacker to create a point that is not on the curve but is in the correct subgroup. This could then be used to maliciously interfere with cryptographic operations.

Cependant, dans la mise en œuvre de Besu, l'ordre de ces vérifications a été inversé, ce qui aurait pu permettre à un attaquant de créer un point qui n'est pas sur la courbe mais qui est dans le sous-groupe correct. Cela pourrait alors être utilisé pour interférer avec malveillance avec les opérations cryptographiques.

The issue has now been addressed by the Besu team, with a fix being deployed in version 25.3.0 of the client software. The correction involves ensuring that both checks are performed in the appropriate order, thereby closing the vulnerability and safeguarding against any potential exploits.

Le problème a maintenant été résolu par l'équipe BESU, avec un correctif en cours de déploiement dans la version 25.3.0 du logiciel client. La correction consiste à s'assurer que les deux chèques sont effectués dans l'ordre approprié, fermant ainsi la vulnérabilité et la sauvegarde contre tout exploite potentielle.

While this flaw was specific to Besu and did not affect other Ethereum clients, it highlights the importance of consistent cryptographic checks across different software implementations. Discrepancies can lead to divergent client behavior, ultimately threatening the network's consensus and trust.

Bien que ce défaut soit spécifique à Besu et n'a pas affecté d'autres clients Ethereum, il met en évidence l'importance de vérifications cryptographiques cohérentes sur différentes implémentations de logiciels. Les écarts peuvent conduire à un comportement divergent du client, menaçant finalement le consensus et la confiance du réseau.

This incident also underscores the critical role of testing and security measures in blockchain systems. Initiatives like the Pectra audit competition, which helped surface this issue, are crucial for maintaining the ecosystem's resilience by encouraging comprehensive code reviews and vulnerability assessments.

Cet incident souligne également le rôle critique des tests et des mesures de sécurité dans les systèmes de blockchain. Des initiatives telles que le concours d'audit PECTRA, qui ont contribué à faire surface ce problème, sont cruciales pour maintenir la résilience de l'écosystème en encourageant les revues de code complètes et les évaluations de vulnérabilité.

The Ethereum Foundation's proactive approach in reporting this vulnerability and the swift response from the Besu team demonstrate the importance of collaboration and vigilance in maintaining the integrity of blockchain systems.

L'approche proactive de la Fondation Ethereum dans la déclaration de cette vulnérabilité et la réponse rapide de l'équipe BESU démontrent l'importance de la collaboration et de la vigilance dans le maintien de l'intégrité des systèmes de blockchain.