Iris Coleman
25 de mayo de 2025 14:56
Se discutió una vulnerabilidad crítica en el cliente de Ethereum de BESU vinculado a las verificaciones de subgrupos en la curva BN254. Este defecto podría tener una seguridad criptográfica comprometida.
Besu, un cliente de ejecución de Ethereum, recientemente tuvo que enfrentar una vulnerabilidad de seguridad significativa debido a los controles de subgrupos inapropiados en la curva elíptica BN254, como se detalla en un informe Fundación Ethereum. Este defecto, identificado en la versión 25.2.2 de BESU, planteó un riesgo para el mecanismo consensual al permitir la manipulación potencial de las operaciones criptográficas.
Comprender la curva BN254
La curva BN254, también conocida como ALT_BN128, es una curva elíptica utilizada en Ethereum para funciones criptográficas. Era la única curva de coincidencia compatible con la máquina virtual Ethereum (EVM) antes de la introducción de EIP-2537. Esta curva es esencial para las operaciones definidas en los contratos precompilados EIP-196 y EIP-197, que facilitan un cálculo efectivo en la curva.
Descripción general de la vulnerabilidad
Una preocupación de seguridad notable en la criptografía de la curva elíptica es el ataque de una curva poco probable, que explota puntos que no están en la curva correcta. Dichas vulnerabilidades son particularmente preocupantes por las curvas de orden sin prisión como BN254 utilizada en criptografía basada en el emparejamiento. Asegúrese de que un punto pertenezca al subgrupo correcto sea esencial, ya que no hacerlo puede causar violaciones de seguridad.
En el caso de Besu, la vulnerabilidad nació porque el control de soporte del subgrupo se llevó a cabo antes de verificar si el punto estaba en la curva. Este error de secuencia podría permitir un punto en el subgrupo correcto pero fuera de la curva para evitar las verificaciones de seguridad, lo que puede comprometer la integridad del sistema.
Explicación y solución técnica
Para determinar si un punto P es válido, debe confirmarse que está en la curva y está en el subgrupo correcto. La implementación de Besu de la implementación aumentó el control de la curva, la vigilancia crítica. El proceso de validación apropiado consiste en verificar tanto la curva como la adherencia al subgrupo, generalmente multiplicando el punto por el orden principal del subgrupo y verificándolo en el elemento de identidad.
El Informe de la Fundación Ethereum señaló que el problema fue resuelto rápidamente por el equipo de BESU, con una corrección implementada en la versión 25.3.0. La corrección garantiza que los dos controles se realicen en el orden apropiado, ahorrando contra posibles exploits.
Implicaciones más amplias y prácticas de seguridad
Aunque este defecto es específico de BESU y no ha afectado a otros clientes de Ethereum, destaca la importancia de los controles criptográficos coherentes a través de diferentes implementaciones de software. Las grasas pueden conducir al comportamiento divergente del cliente, amenazando el consenso de la red y la confianza.
Este incidente destaca la necesidad crítica de pruebas rigurosas y medidas de seguridad en los sistemas de blockchain. Iniciativas como la competencia de auditoría Pectra, que han ayudado a surgir este problema, son esenciales para mantener la resistencia del ecosistema alentando las revistas de código completo y las evaluaciones de vulnerabilidad.
El enfoque proactivo para la Fundación Ethereum y la rápida respuesta del equipo BSU demuestran la importancia de la colaboración y la vigilancia en el mantenimiento de la integridad de los sistemas blockchain.
Fuente de la imagen: Shutterstock