#10 Panoptisches Ereignis: XOR-Linearität bricht Fingerabdruck-Positionsverfahren

Am 25. August 2025 führte Panoptic mit Unterstützung von Cantina und Seal911 eine White-Hat-Rettungsaktion durch und sicherte etwa 400.000 US-Dollar an gefährdeten Geldern [1]. Die Grundursache war ein Fehler in der Konstruktion von s_positionsHash: Das Protokoll verwendete XOR, um Keccak256-Hashes von Positions-IDs zu einem einzigen Fingerabdruck zu aggregieren. Während einzelne Keccak256-Hashes kollisionsresistent bleiben, macht die mathematische Linearität von XOR den zusammengesetzten Fingerabdruck unsicher. Ein Angreifer kann eine Reihe gefälschter Positions-IDs generieren, deren XOR-aggregierter Hash mit jedem Ziel-Fingerabdruck übereinstimmt, wodurch die Positionsüberprüfung des Protokolls umgangen und Sicherheiten abgezogen werden, ohne Schulden zurückzuzahlen.

Hintergrund

Panoptic ist ein dezentrales Protokoll für den Handel mit ewigen Optionen, das auf Ethereum aufbaut und Benutzern den Handel mit Put- und Call-Optionen ermöglicht.

Die Funktion withdraw() hat einen Eingabeparameter positionList, der aus einer Menge von tokenIds besteht. Jede tokenId repräsentiert eine Position. Die Funktion withdraw() prüft den Schuldenstatus jeder Position basierend auf s_positionsHash und ruft dann die Sicherheiten des Benutzers ab.

Um Gas zu sparen, speichert das Protokoll nicht jede Position (d. h. tokenId) des Benutzers. Stattdessen berechnet es einen Fingerabdruck basierend auf allen tokenIds des Benutzers und zeichnet ihn in s_positionsHash auf. Die höchsten 8 Bits jedes s_positionsHash stellen numLegs dar, während die unteren 248 Bits den user position hash darstellen.

Für jede übergebene tokenId berechnet das Protokoll deren Hash, nimmt die unteren 248 Bits und aktualisiert den user position hash durch eine bitweise XOR-Operation mit den unteren 248 Bits des aktuellen s_positionsHash.

Gleichzeitig wird countLegs basierend auf dem numerischen Bereich der tokenId angepasst: Es bleibt unverändert, wenn die tokenId kleiner als $2^{64}2^\{64\}$ ist, und erhöht sich um 1, 2 oder 3, wenn sie in den Bereichen $(2^{64},2^{112})(2^\{64\},\; 2^\{112\})$, $(2^{112},2^{168})(2^\{112\},\; 2^\{168\})$ bzw. $(2^{168},2^{208})(2^\{168\},\; 2^\{208\})$ liegt. Dies wird schließlich in die obersten 8 Bits von s_positionsHash geschrieben, um numLegs zu aktualisieren.

Schwachstellenanalyse

Die Grundursache liegt in einem Fehler im Algorithmus des Vertrags zur Erstellung von s_positionsHash, insbesondere der Verwendung der XOR-Operation zur Aggregation von Keccak256-Hash-Ergebnissen. Während eine einzelne Hash-Funktion sicher bleibt, macht die mathematische Linearität der XOR-Operation den gesamten Fingerabdruck-Algorithmus (d. h. die XOR-Summe von Hashes) unsicher [2].

Linearität bedeutet, dass ein Angreifer die Hash-Funktion selbst nicht brechen muss (d. h. die tokenId aus dem Hash umkehren). Stattdessen können sie eine kombinatorische Strategie anwenden: die Generierung einer großen Anzahl zufälliger tokenIds, die Berechnung ihrer Keccak256(tokenId) und aus diesen Hash-Werten die Auswahl einer bestimmten Teilmenge, sodass die XOR-Summe dieser tokenId-Hashes exakt dem Ziel-Fingerabdruck des Opfers entspricht.

Dies ermöglicht es einem Angreifer, beim Aufruf von withdraw() eine Reihe gefälschter tokenIds zu übergeben, um den Gesundheitscheck zu bestehen und die gesamte Sicherheit zu erhalten, die s_positionsHash entspricht.

Theorie

Angenommen, der Positionsfingerabdruck s_positionsHash des Benutzers hat einen user position hash von $TT$ und numLegs von $kk$ mit Benutzer-tokenIds $\{t_1,t_2,\dots ,t_n\}\backslash \{t\_1,\; t\_2,\; \backslash dots,\; t\_n\backslash \}$. Somit:

$$\underset{i=1}{\overset{k}{⨁}}[\text{Hash}(t_i)(\mathrm{m}\mathrm{o}\mathrm{d}{2}^{248})]=T\backslash bigoplus\_\{i=1\}^\{k\}\; [\backslash text\{Hash\}(t\_i)\; \backslash pmod\{2^\{248\}\}]\; =\; T$$

Hier kann jeder 248-Bit-Hash-Wert als 248-dimensionaler Vektor betrachtet werden.

$$\text{Hash}(t_i)(\mathrm{m}\mathrm{o}\mathrm{d}{2}^{248})=[b_0,b_1,\dots ,b_{247}{]}^T,wobei{b}_i\in \{0,1\}\backslash text\{Hash\}(t\_i)\; \backslash pmod\{2^\{248\}\}\; =\; [b\_0,\; b\_1,\; \backslash dots,\; b\_\{247\}]^T,\; wobei\backslash \; b\_i\; \backslash in\; \backslash \{0,\; 1\backslash \}$$

Daher liegt $TT$ in einem 248-dimensionalen Raum, der aus 0en und 1en besteht (${\mathbb{F}}_2^{248}\backslash mathbb\{F\}\_2^\{248\}$). In diesem Raum ist die XOR-Operation äquivalent zur Vektoraddition (Anhang I).

Das Ziel des Angreifers ist es, $nn$ 248-dimensionale Vektoren $\{v_1,v_2,\dots ,v_n\}\backslash \{v\_1,\; v\_2,\; \backslash dots,\; v\_n\backslash \}$ aus allen verfügbaren Vektoren zu finden, sodass die unteren 248 Bits ihrer XOR-Summe gleich $TT$ sind. Somit können wir das Ziel des Angreifers als System linearer Gleichungen formulieren:

$$x_1{v}_1+x_2{v}_2+\cdots +x_n{v}_n=Tx\_1\; v\_1\; +\; x\_2\; v\_2\; +\; \backslash dots\; +\; x\_n\; v\_n\; =\; T$$

Insbesondere müssen wir $TT$ nicht direkt konstruieren. Stattdessen wählen wir $nn$ linear unabhängige Hash-Vektoren $\{v_1,v_2,\dots ,v_n\}\backslash \{v\_1,\; v\_2,\; \backslash dots,\; v\_n\backslash \}$ (wobei $nn$ der Dimension 248 entspricht) und verwenden sie als Spaltenvektoren, um eine $n\times nn\; \backslash times\; n$-Matrix $AA$ zu konstruieren:

$$A=[v_1,v_2,\dots ,v_n]A\; =\; [v\_1,\; v\_2,\; \backslash dots,\; v\_n]$$

Das Problem verwandelt sich dann in die Suche nach einem Koeffizientenvektor $xx$, sodass:

$$A\cdot x=TA\; \backslash cdot\; x\; =\; T$$

Wobei $x=[x_1,x_2,\dots ,x_n{]}^{T}x\; =\; [x\_1,\; x\_2,\; \backslash dots,\; x\_n]^T$ und $x_i\in \{0,1\}x\_i\; \backslash in\; \backslash \{0,\; 1\backslash \}$.

Gemäß der Theorie der linearen Algebra, solange die Matrix $AA$ vollen Rang hat, spannt sie den gesamten $nn$-dimensionalen Raum auf. Das bedeutet, dass für jedes Ziel $TT$ das Gleichungssystem eine eindeutige Lösung hat. Nach der Lösung von $xx$ behalten wir einfach die Vektoren $v_{i}v\_i$ bei, für die $x_i=1x\_i=1$ gilt; ihre XOR-Summe ist $TT$.

Beispiel

Zur besseren Verständlichkeit demonstrieren wir diesen Konstruktionsprozess anhand einer Fallstudie. Angenommen, die Vektoren sind 3-dimensional, jede Dimension besteht nur aus 0 oder 1 und der Ziel-Hash-Wert ist 101, d. h. $T=[1,0,1{]}^{T}T\; =\; [1,\; 0,\; 1]^T$.

Als Nächstes generieren wir zufällig 3 Hash-Werte:

• $v_1=[1,1,0{]}^{T}v\_1\; =\; [1,\; 1,\; 0]^T$
• $v_2=[0,1,0{]}^{T}v\_2\; =\; [0,\; 1,\; 0]^T$
• $v_3=[0,1,1{]}^{T}v\_3\; =\; [0,\; 1,\; 1]^T$

Wir konstruieren die Matrix $AA$ mit diesen drei Vektoren als Spalten und stellen die Gleichung $Ax=TAx=T$ auf:

Durch Gauß-Eliminierung erhalten wir $x=[1,0,1{]}^{T}x\; =\; [1,\; 0,\; 1]^T$. Das bedeutet, wir müssen $v_{1}v\_1$ und $v_{3}v\_3$ auswählen (entsprechend $x_1=1,x_3=1x\_1=1,\; x\_3=1$), und ihre XOR-Summe ergibt exakt $TT$.

Auswahl von n linear unabhängigen Vektoren

Wie bereits erwähnt, müssen wir zur Lösung von $Ax=TAx=T$ eine vollrangige Matrix $AA$ konstruieren. Da wir es mit einem extrem großen Vektorraum zu tun haben ($m=2^{248}m\; =\; 2^\{248\}$), stellt sich die Kernfrage: Wie wählen wir schnell $nn$ linear unabhängige Vektoren aus diesem riesigen Raum aus?

Betrachten wir die einfachste Methode: zufällige Generierung von $nn$ tokenIds und Auswahl ihrer Hash-Ergebnisse als Vektoren.

Über ${\mathbb{F}}_2\backslash mathbb\{F\}\_2$ beträgt die Wahrscheinlichkeit $PP$, dass $nn$ zufällig ausgewählte $nn$-dimensionale Vektoren eine vollrangige Matrix bilden:

$$P(n)=\prod _{k=0}^{n-1}(1-\frac{2^k}{2^n})P(n)\; =\; \backslash prod\_\{k=0\}^\{n-1\}\; \backslash left(1\; -\; \backslash frac\{2^k\}\{2^n\}\backslash right)$$

Wenn $nn$ groß ist (in diesem Beispiel $n=248n=248$), konvergiert diese Wahrscheinlichkeit gegen eine Konstante (Anhang II):

$$\underset{n\to \mathrm{\infty }}{\lim }P(n)\approx 0.28879\backslash lim\_\{n\; \backslash to\; \backslash infty\}\; P(n)\; \backslash approx\; 0.28879$$

Das bedeutet, jeder zufällige Versuch hat eine Erfolgswahrscheinlichkeit von etwa 28,9 %. Im Durchschnitt benötigt ein Angreifer nur etwa 3,5 Versuche, um eine Menge linear unabhängiger Vektoren zu finden. Daher sind die Rechenkosten extrem gering, und der Angreifer kann schnell eine Matrix $AA$ konstruieren, die die Bedingungen erfüllt.

Um countLegs in den obersten 8 Bits zu steuern, müssen wir nur den Bereich der zufällig generierten tokenId-Werte basierend auf dem Ziel-countLegs anpassen.

Wenn wir beispielsweise möchten, dass numLegs im gefälschten Fingerabdruck 0 ist, stellen wir einfach sicher, dass die $nn$ zufällig generierten tokenIds kleiner als $2^{64}2^\{64\}$ sind. Da die Beinvermehrung für tokenIds in diesem Bereich 0 ist, wird die endgültige akkumulierte numLegs zwangsläufig 0 sein, unabhängig davon, welche Vektoren die Gauß-Eliminierungslösung $xx$ auswählt.

Angriffsanalyse

Der White-Hat-Retter initiierte mehrere Rettungstransaktionen. Der Einfachheit halber basiert die folgende Diskussion auf einer einzigen dieser Transaktionen [3].

Die Kernlogik besteht aus den folgenden 5 Schritten:

1. Leihen von 0,23e8 WBTC und 28e18 WETH über einen Flash-Loan von Aave.
2. Einzahlung von 0,23e8 WBTC und 28e18 WETH in den poWBTC-Vertrag und den 0x1f8d_poWETH-Vertrag.
3. Aufruf von mintOptions() des PanopticPool-Vertrags mit einer normalen positionIdList, um Gelder zu leihen und eine gehebelte Position zu eröffnen.
4. Aufruf von withdraw() unter Übergabe der gefälschten tokenIds. Da diese gefälschten Positionen eine positionSize von 0 haben, gibt die Funktion tokenRequired als 0 zurück, was bedeutet, dass die für alle Positionen erforderliche Gesamtsicherheit fälschlicherweise als null berechnet wird. In der Zwischenzeit ist der von diesen tokenIds generierte s_positionsHash exakt derselbe wie der in Schritt 3 generierte, was es dem Retter ermöglicht, alle Sicherheiten ohne Rückzahlung von Schulden abzuziehen.
5. Rückzahlung des Flash-Loans und Ausführung der nächsten Runde.

Zusammenfassung

Dieser Vorfall hebt zwei sich gegenseitig verstärkende Fehler hervor, die zusammen einen unbefugten Abzug von Sicherheiten ermöglichten.

• XOR ist keine sichere Aggregationsfunktion für Hashes. Keccak256 ist kollisionsresistent, aber die Linearität von XOR bedeutet, dass die XOR-Summe mehrerer Hashes diese Eigenschaft nicht erbt. Die Konstruktion einer Menge von Eingaben, deren Hashes zu einem beliebigen Zielwert XOR-summiert werden, reduziert sich auf die Lösung eines Systems linearer Gleichungen über ${\mathbb{F}}_2\backslash mathbb\{F\}\_2$, was rechnerisch trivial ist. Hash-Komposition erfordert Operationen, die die Kollisionsresistenz erhalten, wie z. B. Konkatenation gefolgt von Neuhash.
• Fehlende Validierung von Positions-IDs. Das Protokoll überprüfte nicht, ob übergebene positionIds gültigen Optionspositionen entsprachen. Werte unter $2^{64}2^\{64\}$ tragen einen countLegs von 0 und eine positionSize von 0, was bedeutet, dass die gefälschten Positionen keine Schulden verursachen. Dies ermöglichte es dem Angreifer, den Gesundheitscheck mit einer Sicherheitenanforderung von Null zu bestehen und gleichzeitig den Ziel-Fingerabdruck zu matchen.

Referenz

1. https://x.com/Panoptic_xyz/status/1961187739866644524

2. https://cseweb.ucsd.edu/~mihir/papers/inchash.pdf

3. https://app.blocksec.com/explorer/tx/eth/0x67a45dfe5ff4b190058674d7c791bbdc48e889f319f937c24fa13a5f9093f088

Anhang

Die folgenden beiden Anhänge bieten eine mathematische Erklärung und einen Beweis für die Aussagen im Haupttext, nämlich dass die XOR-Operation äquivalent zur Vektoraddition ist (Anhang I) und die Wahrscheinlichkeit, dass eine zufällige Matrix vollen Rang hat (Anhang II).

Anhang I

Im endlichen Körper ${\mathbb{F}}_2=\{0,1\}\backslash mathbb\{F\}\_2\; =\; \backslash \{0,\; 1\backslash \}$ ist die Addition als Addition modulo 2 definiert:

Die Beobachtung zeigt, dass dies identisch mit der logischen Operation Exklusiv-Oder (XOR, Symbol $\oplus \backslash oplus$) ist.

Für den $nn$-dimensionalen Vektorraum ${\mathbb{F}}_2^n\backslash mathbb\{F\}\_2^n$ (in diesem Fall $n=248n=248$) ist die Addition zweier Vektoren $u=[u_1,\dots ,u_n{]}^{T}u\; =\; [u\_1,\; \backslash dots,\; u\_n]^T$ und $v=[v_1,\dots ,v_n{]}^{T}v\; =\; [v\_1,\; \backslash dots,\; v\_n]^T$ als komponentenweise Addition modulo 2 definiert:

$$u+v=\left[\begin{array}{c}{u}_1+v_1(\mathrm{m}\mathrm{o}\mathrm{d}2)\\ \mathrm{⋮}\\ u_n+v_n(\mathrm{m}\mathrm{o}\mathrm{d}2)\end{array}\right]=\left[\begin{array}{c}{u}_1\oplus v_1\\ \mathrm{⋮}\\ u_n\oplus v_n\end{array}\right]=u\oplus vu\; +\; v\; =\; \backslash begin\{bmatrix\}\; u\_1\; +\; v\_1\; \backslash pmod\; 2\; \backslash \backslash \; \backslash vdots\; \backslash \backslash \; u\_n\; +\; v\_n\; \backslash pmod\; 2\; \backslash end\{bmatrix\}\; =\; \backslash begin\{bmatrix\}\; u\_1\; \backslash oplus\; v\_1\; \backslash \backslash \; \backslash vdots\; \backslash \backslash \; u\_n\; \backslash oplus\; v\_n\; \backslash end\{bmatrix\}\; =\; u\; \backslash oplus\; v$$

Daher ist im Vektorraum ${\mathbb{F}}_2^n\backslash mathbb\{F\}\_2^\{n\}$ die Vektoraddition äquivalent zur bitweisen XOR-Operation auf den Vektorkomponenten.

Anhang II

Um die Matrix vollrangig zu machen, müssen diese $nn$ Vektoren linear unabhängig sein.

Der erste Vektor $v_{1}v\_1$ kann jeder Vektor in ${\mathbb{F}}_2^n\backslash mathbb\{F\}\_2^n$ außer dem Nullvektor sein, was $2^n-12^n\; -\; 1$ Auswahlmöglichkeiten bietet; der zweite Vektor $v_{2}v\_2$ darf nicht im von $\{v_1\}\backslash \{v\_1\backslash \}$ aufgespannten Unterraum liegen, der $2^{1}2^1$ Vektoren enthält, was $2^n-22^n\; -\; 2$ Auswahlmöglichkeiten übrig lässt; dieser Logik folgend darf der $kk$-te Vektor $v_{k}v\_k$ nicht im von den vorherigen $k-1k-1$ Vektoren aufgespannten Unterraum liegen, was zu $2^n-2^{k-1}2^n\; -\; 2^\{k-1\}$ möglichen Auswahlmöglichkeiten führt.

Die Gesamtzahl solcher Matrizen (d. h. die Ordnung von $GL(n,{\mathbb{F}}_2)GL(n,\; \backslash mathbb\{F\}\_2)$) ist:

$$N=\prod _{k=0}^{n-1}(2^n-2^k)=(2^n-1)(2^n-2)(2^n-4)\cdots (2^n-2^{n-1})N\; =\; \backslash prod\_\{k=0\}^\{n-1\}\; (2^n\; -\; 2^k)\; =\; (2^n\; -\; 1)(2^n\; -\; 2)(2^n\; -\; 4)\backslash cdots(2^n\; -\; 2^\{n-1\})$$

Und die Gesamtzahl aller möglichen $n\times nn\; \backslash times\; n$-Matrizen ist $(2^n{)}^n=2^{n^2}(2^n)^n\; =\; 2^\{n^2\}$.

Somit ist die Wahrscheinlichkeit $PP$:

$$P=\frac{\prod _{k=0}^{n-1}(2^n-2^k)}{2^{n^2}}=\prod _{k=0}^{n-1}\left(\frac{2^n-2^k}{2^n}\right)=\prod _{k=0}^{n-1}(1-\frac{2^k}{2^n})P\; =\; \backslash frac\{\backslash prod\_\{k=0\}^\{n-1\}\; (2^n\; -\; 2^k)\}\{2^\{n^2\}\}\; =\; \backslash prod\_\{k=0\}^\{n-1\}\; \backslash left(\; \backslash frac\{2^n\; -\; 2^k\}\{2^n\}\; \backslash right)\; =\; \backslash prod\_\{k=0\}^\{n-1\}\; (1\; -\; \backslash frac\{2^k\}\{2^n\})$$

Wenn wir $j=n-kj\; =\; n\; -\; k$ setzen, können wir diesen Ausdruck umschreiben als:

$$P=\prod _{j=1}^n(1-\frac{1}{2^j})P\; =\; \backslash prod\_\{j=1\}^\{n\}\; \backslash left(1\; -\; \backslash frac\{1\}\{2^j\}\backslash right)$$

Wenn $n\to \mathrm{\infty }n\; \backslash to\; \backslash infty$, konvergiert dieses Produkt gegen eine Konstante:

$$P\approx 0.288788P\; \backslash approx\; 0.288788$$

Das bedeutet, dass für große $nn$ die Wahrscheinlichkeit, dass eine zufällige Matrix vollen Rang hat, etwa 28,9 % beträgt.

Über BlockSec

BlockSec ist ein Anbieter von Blockchain-Sicherheit und Krypto-Compliance. Wir entwickeln Produkte und Dienstleistungen, die Kunden bei der Durchführung von Code-Audits (einschließlich Smart Contracts, Blockchain und Wallets), der Echtzeit-Abwehr von Angriffen, der Analyse von Vorfällen, der Verfolgung illegaler Gelder und der Erfüllung von AML/CFT-Verpflichtungen während des gesamten Lebenszyklus von Protokollen und Plattformen unterstützen.

BlockSec hat mehrere Blockchain-Sicherheitsarbeiten auf renommierten Konferenzen veröffentlicht, mehrere Zero-Day-Angriffe von DeFi-Anwendungen gemeldet, mehrere Hackerangriffe blockiert, um mehr als 20 Millionen Dollar zu retten, und Kryptowährungen im Wert von mehreren Milliarden Dollar gesichert.

• Offizielle Website: https://blocksec.com/

• Offizielles Twitter-Konto: https://twitter.com/BlockSecTeam

• 🔗 BlockSec Auditing Service : Anfrage einreichen

• 🔗 Phalcon Security APP: Demo buchen

• 🔗 Phalcon Compliance