№10 Паноптический инцидент: линейность XOR нарушает схему отпечатков позиции

25 августа 2025 года при содействии Cantina и Seal911 протокол Panoptic провел операцию «белого хакера», обеспечив сохранность активов на сумму около 400 тысяч долларов [1]. Первопричиной стала уязвимость в реализации функции s_positionsHash: протокол использовал операцию XOR для агрегации Keccak256-хэшей идентификаторов позиций в единый «отпечаток». Хотя сами по себе Keccak256-хэши устойчивы к коллизиям, математическая линейность операции XOR делает составной отпечаток небезопасным. Злоумышленник может подобрать набор поддельных идентификаторов позиций, хэши которых через XOR дадут в сумме целевой отпечаток, тем самым обходя проверку протокола и выводя залог без погашения долга.

Общие сведения

Panoptic — это децентрализованный протокол торговли бессрочными опционами на базе Ethereum, который позволяет пользователям торговать опционами пут и колл.

Функция withdraw() принимает параметр positionList, состоящий из набора tokenId. Каждый tokenId представляет собой позицию. Функция withdraw() проверяет долговой статус каждой позиции на основе s_positionsHash, а затем возвращает залог пользователя.

Для экономии газа протокол не хранит каждую позицию (то есть tokenId) пользователя по отдельности. Вместо этого он рассчитывает «отпечаток» на основе всех tokenId пользователя и записывает его в s_positionsHash. Старшие 8 бит каждого s_positionsHash представляют numLegs (количество сегментов), а остальные 248 бит — user position hash (хэш позиции пользователя).

Для каждого переданного tokenId протокол вычисляет его хэш, берет младшие 248 бит и обновляет user position hash путем выполнения побитовой операции XOR с младшими 248 битами текущего s_positionsHash.

Одновременно с этим countLegs корректируется в зависимости от численного диапазона tokenId: он остается неизменным, если tokenId меньше $2^{64}2^\{64\}$, и увеличивается на 1, 2 или 3 в диапазонах $(2^{64},2^{112})(2^\{64\},\; 2^\{112\})$, $(2^{112},2^{168})(2^\{112\},\; 2^\{168\})$ и $(2^{168},2^{208})(2^\{168\},\; 2^\{208\})$ соответственно. Эта величина записывается в старшие 8 бит s_positionsHash для обновления numLegs.

Анализ уязвимости

Первопричиной является изъян в алгоритме формирования s_positionsHash, а именно использование операции XOR для агрегации результатов хэширования Keccak256. В то время как сама функция хэширования остается безопасной, математическая линейность XOR делает весь алгоритм формирования отпечатка (т.е. сумму хэшей по XOR) небезопасным [2].

Линейность означает, что злоумышленнику не нужно взламывать саму функцию хэширования (т.е. находить tokenId по хэшу). Вместо этого он может использовать комбинаторную стратегию: генерировать большое количество случайных tokenId, вычислять их Keccak256(tokenId) и из этих значений выбирать конкретное подмножество так, чтобы их XOR-сумма в точности совпадала с целевым отпечатком жертвы.

Это позволяет злоумышленнику при вызове withdraw() передать набор поддельных tokenId, пройти проверку состояния и вывести весь залог, соответствующий данному s_positionsHash.

Теория

Предположим, что отпечаток позиции пользователя s_positionsHash имеет user position hash равный $TT$ и numLegs равный $kk$, с набором tokenId $\{t_1,t_2,\dots ,t_n\}\backslash \{t\_1,\; t\_2,\; \backslash dots,\; t\_n\backslash \}$. Таким образом:

$$\underset{i=1}{\overset{k}{⨁}}[\text{Hash}(t_i)(\mathrm{m}\mathrm{o}\mathrm{d}{2}^{248})]=T\backslash bigoplus\_\{i=1\}^\{k\}\; [\backslash text\{Hash\}(t\_i)\; \backslash pmod\{2^\{248\}\}]\; =\; T$$

Здесь каждое 248-битное хэш-значение можно рассматривать как 248-мерный вектор.

$$\text{Hash}(t_i)(\mathrm{m}\mathrm{o}\mathrm{d}{2}^{248})=[b_0,b_1,\dots ,b_{247}{]}^T,\text{где }{b}_i\in \{0,1\}\backslash text\{Hash\}(t\_i)\; \backslash pmod\{2^\{248\}\}\; =\; [b\_0,\; b\_1,\; \backslash dots,\; b\_\{247\}]^T,\; где\backslash \; b\_i\; \backslash in\; \backslash \{0,\; 1\backslash \}$$

Следовательно, $TT$ находится в 248-мерном пространстве, состоящем из 0 и 1 (${\mathbb{F}}_2^{248}\backslash mathbb\{F\}\_2^\{248\}$). В этом пространстве операция XOR эквивалентна сложению векторов (Приложение I).

Цель злоумышленника — найти $nn$ 248-мерных векторов $\{v_1,v_2,\dots ,v_n\}\backslash \{v\_1,\; v\_2,\; \backslash dots,\; v\_n\backslash \}$ из всех доступных векторов таких, чтобы младшие 248 бит их XOR-суммы равнялись $TT$. Таким образом, задачу злоумышленника можно сформулировать как систему линейных уравнений:

$$x_1{v}_1+x_2{v}_2+\cdots +x_n{v}_n=Tx\_1\; v\_1\; +\; x\_2\; v\_2\; +\; \backslash dots\; +\; x\_n\; v\_n\; =\; T$$

В частности, нам не нужно пытаться построить $TT$ напрямую. Вместо этого мы выбираем $nn$ линейно независимых хэш-векторов $\{v_1,v_2,\dots ,v_n\}\backslash \{v\_1,\; v\_2,\; \backslash dots,\; v\_n\backslash \}$ (где $nn$ равно размерности 248) и используем их как столбцы для формирования матрицы $AA$:

$$A=[v_1,v_2,\dots ,v_n]A\; =\; [v\_1,\; v\_2,\; \backslash dots,\; v\_n]$$

Задача сводится к поиску коэффициентов вектора $xx$ таких, что:

$$A\cdot x=TA\; \backslash cdot\; x\; =\; T$$

Где $x=[x_1,x_2,\dots ,x_n{]}^{T}x\; =\; [x\_1,\; x\_2,\; \backslash dots,\; x\_n]^T$, и $x_i\in \{0,1\}x\_i\; \backslash in\; \backslash \{0,\; 1\backslash \}$.

Согласно теории линейной алгебры, если матрица $AA$ имеет полный ранг, она охватывает все $nn$-мерное пространство. Это означает, что для любого целевого $TT$ система уравнений имеет единственное решение. После решения уравнения для $xx$ мы просто оставляем те векторы $v_{i}v\_i$, для которых $x_i=1x\_i=1$; их XOR-сумма будет в точности равна $TT$.

Пример

Для простоты понимания продемонстрируем этот процесс построения на кейсе. Допустим, векторы трехмерны, состоят только из 0 или 1, а целевое хэш-значение равно 101, т.е. $T=[1,0,1{]}^{T}T\; =\; [1,\; 0,\; 1]^T$.

Сгенерируем три случайных хэш-значения:

• $v_1=[1,1,0{]}^{T}v\_1\; =\; [1,\; 1,\; 0]^T$
• $v_2=[0,1,0{]}^{T}v\_2\; =\; [0,\; 1,\; 0]^T$
• $v_3=[0,1,1{]}^{T}v\_3\; =\; [0,\; 1,\; 1]^T$

Формируем матрицу $AA$ из этих трех векторов-столбцов и составляем уравнение $Ax=TAx=T$:

Решая методом Гаусса, получаем $x=[1,0,1{]}^{T}x\; =\; [1,\; 0,\; 1]^T$. Это означает, что нам нужно выбрать $v_{1}v\_1$ и $v_{3}v\_3$ (соответствующие $x_1=1,x_3=1x\_1=1,\; x\_3=1$), и их XOR-сумма будет в точности равна целевому $TT$.

Выбор n линейно независимых векторов

Как упоминалось ранее, для решения $Ax=TAx=T$ нам нужно построить матрицу $AA$ полного ранга. Поскольку мы работаем с крайне большим векторным пространством ($m=2^{248}m\; =\; 2^\{248\}$), возникает главный вопрос: как быстро выбрать $nn$ линейно независимых векторов из этого огромного пространства?

Рассмотрим простейший метод: случайная генерация $nn$ идентификаторов tokenId и выбор результатов их хэширования в качестве векторов.

В поле ${\mathbb{F}}_2\backslash mathbb\{F\}\_2$ вероятность $PP$ того, что $nn$ случайно выбранных $nn$-мерных векторов образуют матрицу полного ранга, составляет:

$$P(n)=\prod _{k=0}^{n-1}(1-\frac{2^k}{2^n})P(n)\; =\; \backslash prod\_\{k=0\}^\{n-1\}\; \backslash left(1\; -\; \backslash frac\{2^k\}\{2^n\}\backslash right)$$

Когда $nn$ велико (в данном примере $n=248n=248$), эта вероятность сходится к константе (Приложение II):

$$\underset{n\to \mathrm{\infty }}{\lim }P(n)\approx 0.28879\backslash lim\_\{n\; \backslash to\; \backslash infty\}\; P(n)\; \backslash approx\; 0.28879$$

Это означает, что каждая случайная попытка имеет вероятность успеха примерно 28.9%. В среднем злоумышленнику нужно около 3.5 попыток, чтобы найти набор линейно независимых векторов. Таким образом, вычислительные затраты крайне низки, и злоумышленник может быстро построить матрицу $AA$, удовлетворяющую условиям.

Чтобы контролировать countLegs в старших 8 битах, нужно лишь корректировать диапазон случайно генерируемых tokenId в соответствии с целевым показателем countLegs.

Например, если мы хотим, чтобы numLegs в поддельном отпечатке равнялось 0, мы просто следим за тем, чтобы все $nn$ случайно сгенерированных tokenId были меньше $2^{64}2^\{64\}$. Поскольку приращение сегмента для tokenId в этом диапазоне равно 0, то независимо от того, какие векторы будут выбраны при решении системы методом Гаусса, итоговое накопленное значение numLegs неизбежно будет 0.

Анализ атаки

Белый хакер инициировал несколько транзакций спасения. Для простоты обсудим одну из них [3].

Основная логика состоит из 5 шагов:

1. Взять в долг 0.23e8 WBTC и 28e18 WETH через флэш-кредит (flash loan) в Aave.
2. Внести 0.23e8 WBTC и 28e18 WETH в контракты poWBTC и 0x1f8d_poWETH.
3. Вызвать mintOptions() контракта PanopticPool с обычным списком positionIdList, чтобы занять средства и открыть позицию с кредитным плечом.
4. Вызвать withdraw(), передав поддельные tokenId. Поскольку эти поддельные позиции имеют positionSize, равный 0, функция возвращает tokenRequired как 0, что означает, что общий объем залога, требуемый для всех позиций, ошибочно рассчитывается как нулевой. При этом s_positionsHash, сгенерированный на основе этих tokenId, в точности совпадает с таковым из шага 3, что позволяет «спасателю» вывести весь залог, не погашая долг.
5. Погасить флэш-кредит и выполнить следующий раунд.

Заключение

Этот инцидент подчеркивает две взаимосвязанные проблемы, которые в сочетании позволили несанкционированно вывести залог.

• XOR — небезопасная функция агрегации для хэшей. Keccak256 устойчива к коллизиям, но линейность XOR приводит к тому, что сумма нескольких хэшей по XOR не обладает этим свойством. Поиск набора входных данных, хэши которых при XOR дают целевое значение, сводится к решению системы линейных уравнений над ${\mathbb{F}}_2\backslash mathbb\{F\}\_2$, что вычислительно тривиально. Композиция хэшей требует операций, сохраняющих устойчивость к коллизиям, например, конкатенации с последующим повторным хэшированием.
• Отсутствие валидации идентификаторов позиций. Протокол не проверял, соответствуют ли переданные positionId реальным позициям опционов. Значения меньше $2^{64}2^\{64\}$ имеют countLegs равный 0 и positionSize равный 0, а значит, поддельные позиции не несут долговой нагрузки. Это позволило злоумышленнику пройти проверку здоровья с нулевым требованием к залогу, при этом подобрав хэш-отпечаток нужного значения.

Ссылки

1. https://x.com/Panoptic_xyz/status/1961187739866644524

2. https://cseweb.ucsd.edu/~mihir/papers/inchash.pdf

3. https://app.blocksec.com/explorer/tx/eth/0x67a45dfe5ff4b190058674d7c791bbdc48e889f319f937c24fa13a5f9093f088

Приложение

Следующие два приложения содержат математическое пояснение и доказательство утверждений из основного текста, а именно: что операция XOR эквивалентна сложению векторов (Приложение I) и какова вероятность того, что случайная матрица имеет полный ранг (Приложение II).

Приложение I

В конечном поле ${\mathbb{F}}_2=\{0,1\}\backslash mathbb\{F\}\_2\; =\; \backslash \{0,\; 1\backslash \}$ сложение определяется как сложение по модулю 2:

Легко видеть, что это идентично логической операции «Исключающее ИЛИ» (XOR, символ $\oplus \backslash oplus$).

Для $nn$-мерного векторного пространства ${\mathbb{F}}_2^n\backslash mathbb\{F\}\_2^n$ (в данном случае $n=248n=248$) сложение двух векторов $u=[u_1,\dots ,u_n{]}^{T}u\; =\; [u\_1,\; \backslash dots,\; u\_n]^T$ и $v=[v_1,\dots ,v_n{]}^{T}v\; =\; [v\_1,\; \backslash dots,\; v\_n]^T$ определяется как покомпонентное сложение по модулю 2:

$$u+v=\left[\begin{array}{c}{u}_1+v_1(\mathrm{m}\mathrm{o}\mathrm{d}2)\\ \mathrm{⋮}\\ u_n+v_n(\mathrm{m}\mathrm{o}\mathrm{d}2)\end{array}\right]=\left[\begin{array}{c}{u}_1\oplus v_1\\ \mathrm{⋮}\\ u_n\oplus v_n\end{array}\right]=u\oplus vu\; +\; v\; =\; \backslash begin\{bmatrix\}\; u\_1\; +\; v\_1\; \backslash pmod\; 2\; \backslash \backslash \; \backslash vdots\; \backslash \backslash \; u\_n\; +\; v\_n\; \backslash pmod\; 2\; \backslash end\{bmatrix\}\; =\; \backslash begin\{bmatrix\}\; u\_1\; \backslash oplus\; v\_1\; \backslash \backslash \; \backslash vdots\; \backslash \backslash \; u\_n\; \backslash oplus\; v\_n\; \backslash end\{bmatrix\}\; =\; u\; \backslash oplus\; v$$

Таким образом, в векторном пространстве ${\mathbb{F}}_2^n\backslash mathbb\{F\}\_2^n$ сложение векторов эквивалентно побитовой операции XOR компонентов вектора.

Приложение II

Чтобы матрица имела полный ранг, эти $nn$ векторов должны быть линейно независимыми.

Первый вектор $v_{1}v\_1$ может быть любым вектором в ${\mathbb{F}}_2^n\backslash mathbb\{F\}\_2^n$ кроме нулевого, что дает $2^n-12^n\; -\; 1$ вариантов; второй вектор $v_{2}v\_2$ не должен находиться в подпространстве, натянутом на $\{v_1\}\backslash \{v\_1\backslash \}$, которое содержит $2^{1}2^1$ векторов, оставляя $2^n-22^n\; -\; 2$ вариантов; следуя этой логике, $kk$-й вектор $v_{k}v\_k$ не может находиться в подпространстве, натянутом на предыдущие $k-1k-1$ векторов, что дает $2^n-2^{k-1}2^n\; -\; 2^\{k-1\}$ возможных вариантов.

Общее количество таких матриц (т.е. порядок $GL(n,{\mathbb{F}}_2)GL(n,\; \backslash mathbb\{F\}\_2)$) равно:

$$N=\prod _{k=0}^{n-1}(2^n-2^k)=(2^n-1)(2^n-2)(2^n-4)\cdots (2^n-2^{n-1})N\; =\; \backslash prod\_\{k=0\}^\{n-1\}\; (2^n\; -\; 2^k)\; =\; (2^n\; -\; 1)(2^n\; -\; 2)(2^n\; -\; 4)\backslash cdots(2^n\; -\; 2^\{n-1\})$$

Общее количество всех возможных $n\times nn\; \backslash times\; n$ матриц равно $(2^n{)}^n=2^{n^2}(2^n)^n\; =\; 2^\{n^2\}$.

Таким образом, вероятность $PP$ составляет:

$$P=\frac{\prod _{k=0}^{n-1}(2^n-2^k)}{2^{n^2}}=\prod _{k=0}^{n-1}\left(\frac{2^n-2^k}{2^n}\right)=\prod _{k=0}^{n-1}(1-\frac{2^k}{2^n})P\; =\; \backslash frac\{\backslash prod\_\{k=0\}^\{n-1\}\; (2^n\; -\; 2^k)\}\{2^\{n^2\}\}\; =\; \backslash prod\_\{k=0\}^\{n-1\}\; \backslash left(\; \backslash frac\{2^n\; -\; 2^k\}\{2^n\}\; \backslash right)\; =\; \backslash prod\_\{k=0\}^\{n-1\}\; (1\; -\; \backslash frac\{2^k\}\{2^n\})$$

При $j=n-kj\; =\; n\; -\; k$ это выражение можно переписать как:

$$P=\prod _{j=1}^n(1-\frac{1}{2^j})P\; =\; \backslash prod\_\{j=1\}^\{n\}\; \backslash left(1\; -\; \backslash frac\{1\}\{2^j\}\backslash right)$$

При $n\to \mathrm{\infty }n\; \backslash to\; \backslash infty$ это произведение сходится к константе:

$$P\approx 0.288788P\; \backslash approx\; 0.288788$$

Это означает, что для больших $nn$ вероятность того, что случайная матрица будет иметь полный ранг, составляет примерно 28.9%.

О компании BlockSec

BlockSec — поставщик услуг комплексной безопасности блокчейна и соблюдения нормативных требований в криптосфере. Мы создаем продукты и сервисы, которые помогают клиентам проводить аудит кода (смарт-контрактов, блокчейн-проектов и кошельков), перехватывать атаки в режиме реального времени, анализировать инциденты, отслеживать незаконные средства и соблюдать требования AML/CFT на протяжении всего жизненного цикла протоколов и платформ.

BlockSec опубликовала множество статей по безопасности блокчейна на престижных конференциях, сообщила об обнаружении нескольких уязвимостей нулевого дня в DeFi-приложениях, предотвратила ряд взломов, сохранив более 20 миллионов долларов, и обеспечила безопасность криптовалютных активов на миллиарды долларов.

• Официальный сайт: https://blocksec.com/

• Официальный Twitter: https://twitter.com/BlockSecTeam

• 🔗 Аудиторский сервис BlockSec : Отправить запрос

• 🔗 Приложение безопасности Phalcon: Записаться на демо

• 🔗 Phalcon Compliance