#10 Incidente Panóptico: La Linealidad XOR Rompe el Esquema de Huella Digital de Posición

El 25 de agosto de 2025, con la asistencia de Cantina y Seal911, Panoptic llevó a cabo una operación de rescate de sombrero blanco, asegurando aproximadamente $400K en fondos en riesgo [1]. La causa raíz fue una falla en la construcción de s_positionsHash: el protocolo utilizó XOR para agregar hashes Keccak256 de IDs de posición en una única huella digital. Si bien los hashes Keccak256 individuales siguen siendo resistentes a colisiones, la linealidad matemática del XOR hace que la huella digital compuesta sea insegura. Un atacante puede generar un conjunto de IDs de posición falsificados cuyo hash agregado por XOR coincida con cualquier huella digital objetivo, eludiendo la verificación de posiciones del protocolo y retirando colateral sin reembolsar la deuda.

Antecedentes

Panoptic es un protocolo descentralizado de trading de opciones perpetuas construido sobre Ethereum que permite a los usuarios operar con opciones de compra y venta.

La función withdraw() tiene un parámetro de entrada positionList, que consiste en un conjunto de tokenIds. Cada tokenId representa una posición. La función withdraw() verifica el estado de deuda de cada posición basándose en s_positionsHash y luego recupera el colateral del usuario.

Para ahorrar gas, el protocolo no almacena cada posición (es decir, tokenId) del usuario. En cambio, calcula una huella digital basada en todos los tokenIds del usuario y la registra en s_positionsHash. Los 8 bits más significativos de cada s_positionsHash representan numLegs, mientras que los 248 bits inferiores representan el user position hash.

Para cada tokenId recibido, el protocolo calcula su hash, toma los 248 bits inferiores y actualiza el user position hash realizando un XOR bit a bit con los 248 bits inferiores del s_positionsHash actual.

Simultáneamente, countLegs se ajusta según el rango numérico del tokenId: permanece sin cambios cuando el tokenId es inferior a $2^{64}2^\{64\}$, y aumenta en 1, 2 o 3 cuando está en los rangos $(2^{64},2^{112})(2^\{64\},\; 2^\{112\})$, $(2^{112},2^{168})(2^\{112\},\; 2^\{168\})$ y $(2^{168},2^{208})(2^\{168\},\; 2^\{208\})$ respectivamente. Esto finalmente se escribe en los 8 bits superiores de s_positionsHash para actualizar numLegs.

Análisis de Vulnerabilidad

La causa raíz es una falla en el algoritmo del contrato para construir s_positionsHash, específicamente el uso de la operación XOR para agregar resultados de hashes Keccak256. Si bien una función hash individual sigue siendo segura, la linealidad matemática de la operación XOR hace que el algoritmo general de huella digital (es decir, la suma XOR de hashes) sea inseguro [2].

La linealidad implica que un atacante no necesita romper la función hash en sí misma (es decir, revertir el tokenId desde el hash). En cambio, puede emplear una estrategia combinatoria: generar una gran cantidad de tokenIds aleatorios, calcular su Keccak256(tokenId), y a partir de estos valores de hash, seleccionar un subconjunto específico tal que la suma XOR de estos hashes de tokenId coincida exactamente con la huella digital objetivo de la víctima.

Esto permite a un atacante pasar un conjunto de tokenIds falsificados al llamar a withdraw() para superar la verificación de salud y recuperar todo el colateral correspondiente a s_positionsHash.

Teoría

Supongamos que la huella digital de posición del usuario s_positionsHash tiene un user position hash de $TT$ y numLegs de $kk$, con tokenIds de usuario $\{t_1,t_2,\dots ,t_n\}\backslash \{t\_1,\; t\_2,\; \backslash dots,\; t\_n\backslash \}$. Por lo tanto:

$$\underset{i=1}{\overset{k}{⨁}}[\text{Hash}(t_i)(\mathrm{m}\mathrm{o}\mathrm{d}{2}^{248})]=T\backslash bigoplus\_\{i=1\}^\{k\}\; [\backslash text\{Hash\}(t\_i)\; \backslash pmod\{2^\{248\}\}]\; =\; T$$

Aquí, cada valor hash de 248 bits puede verse como un vector de 248 dimensiones.

$$\text{Hash}(t_i)(\mathrm{m}\mathrm{o}\mathrm{d}{2}^{248})=[b_0,b_1,\dots ,b_{247}{]}^T,where{b}_i\in \{0,1\}\backslash text\{Hash\}(t\_i)\; \backslash pmod\{2^\{248\}\}\; =\; [b\_0,\; b\_1,\; \backslash dots,\; b\_\{247\}]^T,\; where\backslash \; b\_i\; \backslash in\; \backslash \{0,\; 1\backslash \}$$

Por lo tanto, $TT$ reside en un espacio de 248 dimensiones compuesto por 0s y 1s (${\mathbb{F}}_2^{248}\backslash mathbb\{F\}\_2^\{248\}$). En este espacio, la operación XOR es equivalente a la suma vectorial (Apéndice I).

El objetivo del atacante es encontrar $nn$ vectores de 248 dimensiones $\{v_1,v_2,\dots ,v_n\}\backslash \{v\_1,\; v\_2,\; \backslash dots,\; v\_n\backslash \}$ del conjunto de todos los vectores disponibles, tal que los 248 bits inferiores de su suma XOR sean iguales a $TT$. Por lo tanto, podemos formular el objetivo del atacante como un sistema de ecuaciones lineales:

$$x_1{v}_1+x_2{v}_2+\cdots +x_n{v}_n=Tx\_1\; v\_1\; +\; x\_2\; v\_2\; +\; \backslash dots\; +\; x\_n\; v\_n\; =\; T$$

Específicamente, no necesitamos intentar construir $TT$ directamente. En cambio, seleccionamos $nn$ vectores hash linealmente independientes $\{v_1,v_2,\dots ,v_n\}\backslash \{v\_1,\; v\_2,\; \backslash dots,\; v\_n\backslash \}$ (donde $nn$ es igual a la dimensión 248) y los usamos como vectores columna para construir una matriz $n\times nn\; \backslash times\; n$ $AA$:

$$A=[v_1,v_2,\dots ,v_n]A\; =\; [v\_1,\; v\_2,\; \backslash dots,\; v\_n]$$

El problema se transforma entonces en encontrar un vector de coeficientes $xx$ tal que:

$$A\cdot x=TA\; \backslash cdot\; x\; =\; T$$

Donde $x=[x_1,x_2,\dots ,x_n{]}^{T}x\; =\; [x\_1,\; x\_2,\; \backslash dots,\; x\_n]^T$, y $x_i\in \{0,1\}x\_i\; \backslash in\; \backslash \{0,\; 1\backslash \}$.

Según la teoría del álgebra lineal, siempre que la matriz $AA$ tenga rango completo, abarca todo el espacio de $nn$ dimensiones. Esto significa que para cualquier objetivo $TT$, el sistema de ecuaciones tiene una solución única. Después de resolver $xx$, simplemente conservamos aquellos vectores $v_{i}v\_i$ para los cuales $x_i=1x\_i=1$; su suma XOR es $TT$.

Ejemplo

Para facilitar la comprensión, demostramos este proceso de construcción con un caso de estudio. Supongamos que los vectores son de 3 dimensiones, con cada dimensión compuesta únicamente por 0 o 1, y el valor hash objetivo es 101, es decir, $T=[1,0,1{]}^{T}T\; =\; [1,\; 0,\; 1]^T$.

A continuación, generamos aleatoriamente 3 valores hash:

• $v_1=[1,1,0{]}^{T}v\_1\; =\; [1,\; 1,\; 0]^T$
• $v_2=[0,1,0{]}^{T}v\_2\; =\; [0,\; 1,\; 0]^T$
• $v_3=[0,1,1{]}^{T}v\_3\; =\; [0,\; 1,\; 1]^T$

Construimos la matriz $AA$ usando estos tres vectores como columnas y planteamos la ecuación $Ax=TAx=T$:

Resolviendo mediante eliminación gaussiana, obtenemos $x=[1,0,1{]}^{T}x\; =\; [1,\; 0,\; 1]^T$. Esto significa que debemos seleccionar $v_{1}v\_1$ y $v_{3}v\_3$ (correspondientes a $x_1=1,x_3=1x\_1=1,\; x\_3=1$), y su suma XOR es exactamente igual al objetivo $TT$.

Selección de n Vectores Linealmente Independientes

Como se mencionó anteriormente, para resolver $Ax=TAx=T$, necesitamos construir una matriz $AA$ de rango completo. Dado que estamos trabajando con un espacio vectorial extremadamente grande ($m=2^{248}m\; =\; 2^\{248\}$), la pregunta central es: ¿Cómo seleccionamos rápidamente $nn$ vectores linealmente independientes de este vasto espacio?

Consideremos el método más sencillo: generar aleatoriamente $nn$ tokenIds y seleccionar sus resultados de hash como vectores.

Sobre ${\mathbb{F}}_2\backslash mathbb\{F\}\_2$, la probabilidad $PP$ de que $nn$ vectores de $nn$ dimensiones seleccionados aleatoriamente formen una matriz de rango completo es:

$$P(n)=\prod _{k=0}^{n-1}(1-\frac{2^k}{2^n})P(n)\; =\; \backslash prod\_\{k=0\}^\{n-1\}\; \backslash left(1\; -\; \backslash frac\{2^k\}\{2^n\}\backslash right)$$

Cuando $nn$ es grande (en este ejemplo, $n=248n=248$), esta probabilidad converge a una constante (Apéndice II):

$$\underset{n\to \mathrm{\infty }}{\lim }P(n)\approx 0.28879\backslash lim\_\{n\; \backslash to\; \backslash infty\}\; P(n)\; \backslash approx\; 0.28879$$

Esto significa que cada intento aleatorio tiene aproximadamente un 28,9% de probabilidad de éxito. En promedio, un atacante solo necesita aproximadamente 3,5 intentos para encontrar un conjunto de vectores linealmente independientes. Por lo tanto, el costo computacional es extremadamente bajo, y el atacante puede construir rápidamente una matriz $AA$ que satisfaga las condiciones.

Para controlar el countLegs en los 8 bits superiores, solo necesitamos ajustar el rango de los valores tokenId generados aleatoriamente según el countLegs objetivo.

Por ejemplo, si queremos que el numLegs en la huella digital falsificada sea 0, simplemente nos aseguramos de que los $nn$ tokenIds generados aleatoriamente sean todos menores que $2^{64}2^\{64\}$. Dado que el incremento de legs para tokenIds en este rango es 0, independientemente de qué vectores seleccione la solución $xx$ de la eliminación gaussiana, el numLegs acumulado final será inevitablemente 0.

Análisis del Ataque

El rescatador de sombrero blanco inició múltiples transacciones de rescate. Por simplicidad, la siguiente discusión se basa en solo una de estas transacciones [3].

La lógica central consta de los siguientes 5 pasos:

1. Tomar prestados 0,23e8 WBTC y 28e18 WETH mediante préstamo flash de Aave.
2. Depositar 0,23e8 WBTC y 28e18 WETH en el contrato poWBTC y el contrato 0x1f8d_poWETH.
3. Llamar a mintOptions() del contrato PanopticPool con un positionIdList normal para tomar fondos prestados y abrir una posición apalancada.
4. Llamar a withdraw(), pasando los tokenIds falsificados. Debido a que estas posiciones falsificadas tienen un positionSize de 0, la función devuelve tokenRequired como 0, lo que significa que el colateral total requerido para todas las posiciones se calcula erróneamente como cero. Mientras tanto, el s_positionsHash generado por estos tokenIds es exactamente igual al generado en el paso 3, lo que permite al rescatador recuperar todo el colateral sin reembolsar ninguna deuda.
5. Reembolsar el préstamo flash y ejecutar la siguiente ronda.

Resumen

Este incidente pone de relieve dos fallas combinadas que juntas permitieron el retiro no autorizado de colateral.

• XOR no es una función de agregación segura para hashes. Keccak256 es resistente a colisiones, pero la linealidad del XOR significa que la suma XOR de múltiples hashes no hereda esa propiedad. Construir un conjunto de entradas cuyos hashes hagan XOR a cualquier valor objetivo se reduce a resolver un sistema de ecuaciones lineales sobre ${\mathbb{F}}_2\backslash mathbb\{F\}\_2$, lo cual es computacionalmente trivial. La composición de hashes requiere operaciones que preserven la resistencia a colisiones, como la concatenación seguida de un nuevo hash.
• Falta de validación de IDs de posición. El protocolo no verificó si los positionIds pasados correspondían a posiciones de opciones válidas. Los valores por debajo de $2^{64}2^\{64\}$ tienen un countLegs de 0 y un positionSize de 0, lo que significa que las posiciones falsificadas no incurren en deuda. Esto permitió al atacante superar la verificación de salud con requisito de colateral cero mientras coincidía con la huella digital objetivo.

Referencias

1. https://x.com/Panoptic_xyz/status/1961187739866644524

2. https://cseweb.ucsd.edu/~mihir/papers/inchash.pdf

3. https://app.blocksec.com/explorer/tx/eth/0x67a45dfe5ff4b190058674d7c791bbdc48e889f319f937c24fa13a5f9093f088

Apéndice

Los siguientes dos apéndices proporcionan una explicación matemática y demostración de las afirmaciones del texto principal, a saber, que la operación XOR es equivalente a la suma vectorial (Apéndice I) y la probabilidad de que una matriz aleatoria tenga rango completo (Apéndice II).

Apéndice I

En el campo finito ${\mathbb{F}}_2=\{0,1\}\backslash mathbb\{F\}\_2\; =\; \backslash \{0,\; 1\backslash \}$, la adición se define como la adición módulo 2:

Se puede observar que esto es idéntico a la operación lógica OR Exclusivo (XOR, símbolo $\oplus \backslash oplus$).

Para el espacio vectorial de $nn$ dimensiones ${\mathbb{F}}_2^n\backslash mathbb\{F\}\_2^n$ (en este caso $n=248n=248$), la adición de dos vectores $u=[u_1,\dots ,u_n{]}^{T}u\; =\; [u\_1,\; \backslash dots,\; u\_n]^T$ y $v=[v_1,\dots ,v_n{]}^{T}v\; =\; [v\_1,\; \backslash dots,\; v\_n]^T$ se define como la adición módulo 2 componente a componente:

$$u+v=\left[\begin{array}{c}{u}_1+v_1(\mathrm{m}\mathrm{o}\mathrm{d}2)\\ \mathrm{⋮}\\ u_n+v_n(\mathrm{m}\mathrm{o}\mathrm{d}2)\end{array}\right]=\left[\begin{array}{c}{u}_1\oplus v_1\\ \mathrm{⋮}\\ u_n\oplus v_n\end{array}\right]=u\oplus vu\; +\; v\; =\; \backslash begin\{bmatrix\}\; u\_1\; +\; v\_1\; \backslash pmod\; 2\; \backslash \backslash \; \backslash vdots\; \backslash \backslash \; u\_n\; +\; v\_n\; \backslash pmod\; 2\; \backslash end\{bmatrix\}\; =\; \backslash begin\{bmatrix\}\; u\_1\; \backslash oplus\; v\_1\; \backslash \backslash \; \backslash vdots\; \backslash \backslash \; u\_n\; \backslash oplus\; v\_n\; \backslash end\{bmatrix\}\; =\; u\; \backslash oplus\; v$$

Por lo tanto, en el espacio vectorial ${\mathbb{F}}_2^n\backslash mathbb\{F\}\_2^\{n\}$, la suma vectorial es equivalente a la operación XOR bit a bit sobre los componentes del vector.

Apéndice II

Para que la matriz tenga rango completo, estos $nn$ vectores deben ser linealmente independientes.

El primer vector $v_{1}v\_1$ puede ser cualquier vector en ${\mathbb{F}}_2^n\backslash mathbb\{F\}\_2^n$ excepto el vector cero, lo que proporciona $2^n-12^n\; -\; 1$ opciones; el segundo vector $v_{2}v\_2$ no debe residir en el subespacio generado por $\{v_1\}\backslash \{v\_1\backslash \}$, que contiene $2^{1}2^1$ vectores, dejando $2^n-22^n\; -\; 2$ opciones; siguiendo esta lógica, el $kk$-ésimo vector $v_{k}v\_k$ no puede estar en el subespacio generado por los $k-1k-1$ vectores anteriores, resultando en $2^n-2^{k-1}2^n\; -\; 2^\{k-1\}$ opciones posibles.

El número total de tales matrices (es decir, el orden de $GL(n,{\mathbb{F}}_2)GL(n,\; \backslash mathbb\{F\}\_2)$) es:

$$N=\prod _{k=0}^{n-1}(2^n-2^k)=(2^n-1)(2^n-2)(2^n-4)\cdots (2^n-2^{n-1})N\; =\; \backslash prod\_\{k=0\}^\{n-1\}\; (2^n\; -\; 2^k)\; =\; (2^n\; -\; 1)(2^n\; -\; 2)(2^n\; -\; 4)\backslash cdots(2^n\; -\; 2^\{n-1\})$$

Y el número total de todas las posibles matrices $n\times nn\; \backslash times\; n$ es $(2^n{)}^n=2^{n^2}(2^n)^n\; =\; 2^\{n^2\}$.

Por lo tanto, la probabilidad $PP$ es:

$$P=\frac{\prod _{k=0}^{n-1}(2^n-2^k)}{2^{n^2}}=\prod _{k=0}^{n-1}\left(\frac{2^n-2^k}{2^n}\right)=\prod _{k=0}^{n-1}(1-\frac{2^k}{2^n})P\; =\; \backslash frac\{\backslash prod\_\{k=0\}^\{n-1\}\; (2^n\; -\; 2^k)\}\{2^\{n^2\}\}\; =\; \backslash prod\_\{k=0\}^\{n-1\}\; \backslash left(\; \backslash frac\{2^n\; -\; 2^k\}\{2^n\}\; \backslash right)\; =\; \backslash prod\_\{k=0\}^\{n-1\}\; (1\; -\; \backslash frac\{2^k\}\{2^n\})$$

Haciendo $j=n-kj\; =\; n\; -\; k$, podemos reescribir esta expresión como:

$$P=\prod _{j=1}^n(1-\frac{1}{2^j})P\; =\; \backslash prod\_\{j=1\}^\{n\}\; \backslash left(1\; -\; \backslash frac\{1\}\{2^j\}\backslash right)$$

Cuando $n\to \mathrm{\infty }n\; \backslash to\; \backslash infty$, este producto converge a una constante:

$$P\approx 0.288788P\; \backslash approx\; 0.288788$$

Esto significa que para $nn$ grande, la probabilidad de que una matriz aleatoria tenga rango completo es aproximadamente 28,9%.

Acerca de BlockSec

BlockSec es un proveedor integral de seguridad blockchain y cumplimiento de criptomonedas. Desarrollamos productos y servicios que ayudan a los clientes a realizar auditorías de código (incluyendo contratos inteligentes, blockchain y billeteras), interceptar ataques en tiempo real, analizar incidentes, rastrear fondos ilícitos y cumplir con las obligaciones AML/CFT, a lo largo de todo el ciclo de vida de los protocolos y plataformas.

BlockSec ha publicado múltiples artículos de seguridad blockchain en conferencias prestigiosas, reportado varios ataques de día cero en aplicaciones DeFi, bloqueado múltiples hackeos para rescatar más de 20 millones de dólares, y asegurado miles de millones en criptomonedas.

• Sitio web oficial: https://blocksec.com/

• Cuenta oficial de Twitter: https://twitter.com/BlockSecTeam

• 🔗 Servicio de Auditoría BlockSec : Enviar una solicitud

• 🔗 Phalcon Security APP: Reservar una demo

• 🔗 Phalcon Compliance