بحران صحت در ZK: کالبدشکافی هک اثبات کوانتومی گوگل توسط Trail of Bits

در اواخر مارس ۲۰۲۶، گروه هوش مصنوعی کوانتومی گوگل اعلامیه‌ای تحول‌آفرین منتشر کرد: نسل اول کامپیوترهای کوانتومی می‌توانند کلیدهای رمزنگاری منحنی بیضوی استاندارد (ECDLP) را در مدت کوتاهی مانند ۹ دقیقه بشکنند. اما از آنجایی که انتشار کدهای دقیق مدار کوانتومی تهدیدی فوری برای اینترنت جهانی به شمار می‌رفت، گوگل روشی نوآورانه را برای افشای مسئولانه انتخاب کرد. آن‌ها به جای انتشار کد خام، از ماشین مجازی دانش صفر شرکت Succinct Labs یعنی SP1 zkVM برای تولید یک اثبات دانش صفر (ZKP) استفاده کردند تا ثابت کنند مدار بهینه‌شده را در اختیار دارند، بدون اینکه طراحی آن را فاش سازند.

این اقدام به عنوان نقطه عطفی برای امنیتِ حریم‌خصوصی‌محور مورد تحسین قرار گرفت. اما سپس، پای Trail of Bits به میان آمد.

کمی بیش از دو هفته بعد، کیگان رایان، پژوهشگر امنیتی، پست تکان‌دهنده‌ای منتشر کرد و جزئیات چگونگی موفقیت Trail of Bits در «شکست دادن» اثبات گوگل در تمام شاخص‌های عملکردی را شرح داد. نکته چه بود؟ آن‌ها مدار کوانتومی بهتری طراحی نکرده بودند، بلکه کد مهمانِ (guest code) ماشین مجازی دانش صفر را هک کرده و اثباتی را جعل کردند که از نظر ریاضیاتی غیرممکن بود.

«تله صحت» در بهینه‌سازی zkVM

در هسته این اکسپلویت، واقعیت بنیادی zkVMها نهفته است: یک اثبات ZK تنها تایید می‌کند که یک برنامه خاص با موفقیت اجرا شده است. اگر آن برنامه حاوی یک نقص منطقی یا رفتار تعریف‌نشده باشد، اثبات همچنان از نظر رمزنگاری معتبر باقی می‌ماند، اما ادعایی که مطرح می‌کند یک دروغ است.

برای پایین نگه داشتن هزینه‌های تولید اثبات در محیط SP1 (که مبتنی بر معماری RISC-V است)، توسعه‌دهندگان ناچارند تعداد چرخه‌ها (cycle counts) را بهینه‌سازی کنند. برای دستیابی به این هدف، شبیه‌ساز گوگل با استفاده از بلوک‌های unsafe و تابع rkyv::access_unchecked برای تجزیه بایت‌های ورودی مدار، بررسی‌های استاندارد ایمنی مرزها در زبان راست (Rust) را نادیده گرفت.

با تحلیل کد مهمان اصلاح‌نشده، Trail of Bits به نقشه‌ای برای اکسپلویت دست یافت:

• توالی‌زدایی بررسی‌نشده (Unchecked Deserialization): آن‌ها با ارسال داده‌های مدار مخرب و معیوب به rkyv::access_unchecked، شبیه‌ساز را وادار کردند از مرزهای تعیین‌شده خود فراتر رود.
• نام مستعار ثبات‌ها (Register Aliasing): دستکاری انواع عملیات به آن‌ها اجازه داد تا منطق اعتبارسنجی داخلی را به طور کامل دور بزنند.
• دور زدن شمارشگر (Counter Bypassing): آن‌ها شبیه‌ساز را فریب دادند تا شمارش گیت‌های تافولی (Toffoli gates) را به کلی نادیده بگیرد، در حالی که ظاهر یک اجرای موفقیت‌آمیز را حفظ می‌کرد.

جعل امر غیرممکن

با دور زدن شمارشگر گیت تافولی و دستکاری مقادیر شبیه‌سازی‌شده ثبات‌ها، Trail of Bits یک اثبات معتبر Groth16 با استفاده از کلید تایید اصلی گوگل ایجاد کرد. این اثبات جعل‌شده مدعی الگوریتمی بود که ECDLP را با استفاده از دقیقاً صفر گیت تافولی حل می‌کرد. از نظر ریاضی، این یک خیال‌بافی محض است—اما تاییدکننده (verifier) در zkVM آن را به عنوان یک حقیقت مطلق پذیرفت.

گوگل از آن زمان کد تایید خود را اصلاح کرده است (و نسخه ۲ را انتشار داده) و ادعاهای علمی اصلی آن‌ها همچنان بدون چالش باقی مانده است. با این حال، این اکسپلویت تاریخی به عنوان یک هشدار بزرگ برای بخش فناوری ZK عمل می‌کند. همان‌طور که zkVMها از آزمایشگاه‌های تحقیقاتی به محیط‌های تولیدی با ارزش بالا منتقل می‌شوند، توسعه‌دهندگان باید به خاطر داشته باشند که اولویت دادن به کارایی با نادیده گرفتن امنیت حافظه می‌تواند امنیت رمزنگاری که برای ساخت آن تلاش کرده‌اند را کاملاً درهم بشکند.