A segurança digital tem, há décadas, na confiança na aleatoriedade um dos pilares da criptografia moderna, ou, mais precisamente, na simulação confiável de aleatoriedade. Em sistemas digitais, essa aleatoriedade é frequentemente fornecida por funções de hash: algoritmos que transformam qualquer dado (como textos ou arquivos) em uma sequência curta e fixa de caracteres, chamada hash. Essa sequência parece aleatória, mas é sempre a mesma para a mesma entrada. Funções de hash são amplamente utilizadas para garantir integridade, segurança digital e anonimato, já que é praticamente impossível reconstruir o dado original ou encontrar duas entradas diferentes que gerem o mesmo resultado.
Como essas funções transformam dados de maneira aparentemente imprevisível, passou-se a assumir, de forma amplamente aceita, que elas se comportam como “oráculos aleatórios”, isto é, como sistemas que produzem saídas indistinguíveis de uma aleatoriedade genuína.
Essa crença sustentou toda uma geração de protocolos criptográficos, desde sistemas de mensagens seguras até os mecanismos que verificam a validade de transações em blockchains. Mas uma nova descoberta colocou essa suposição fundamental em xeque, revelando que, sob certas condições, é possível usar essas mesmas funções para gerar provas falsas, e fazer com que pareçam verdadeiras.
O Coração da Questão: O Modelo do Oráculo Aleatório
A maioria dos sistemas criptográficos modernos assume que funções de hash são boas o suficiente para simular aleatoriedade verdadeira. Essa hipótese, do modelo do oráculo aleatório, sustenta desde protocolos de autenticação até provas criptográficas mais avançadas, como as usadas em blockchains.
A transformação Fiat-Shamir, por exemplo, é um mecanismo amplamente utilizado para transformar provas interativas (onde duas partes trocam informações) em provas não interativas (onde a prova pode ser verificada por qualquer um, a qualquer momento, sem interação). Essa técnica tornou-se onipresente porque permite verificar cálculos realizados por terceiros de maneira rápida e segura, sem exigir confiança no provedor.
No entanto, a segurança dessa transformação só é formalmente garantida no contexto do modelo do oráculo aleatório. E é justamente aí que o novo trabalho acadêmico coloca o dedo na ferida.
A Descoberta: Provas Falsas com Aparência de Verdade
O novo estudo, conduzido por Dmitry Khovratovich (Ethereum Foundation), Ron Rothblum (Succinct e Technion) e Lev Soukhanov (startup [[alloc]init]), demonstrou um ataque concreto a um sistema de provas amplamente utilizado. Mesmo quando se utiliza qualquer função de hash disponível comercialmente, os pesquisadores foram capazes de gerar provas falsas que eram aceitas como válidas.
Essa vulnerabilidade afeta diretamente os blockchains, que dependem dessas provas para validar cálculos feitos fora da cadeia principal, um componente crucial para garantir a escalabilidade e segurança do sistema. Segundo os pesquisadores, a falha é profunda e não limitada a uma implementação específica.
Entendendo a Técnica: O Problema com Fiat-Shamir
No mundo real, provas Fiat-Shamir são usadas em diversos contextos: trocas de chaves criptográficas, validação de mensagens e, especialmente, verificação de transações em blockchains. A técnica consiste em criar um “compromisso”, ou seja, um resumo hash de dados, e usá-lo como base para gerar desafios aleatórios. Ao responder corretamente a esses desafios, o provador demonstra que possui uma informação correta, sem precisar revelá-la por completo.
O grande trunfo da Fiat-Shamir é eliminar a necessidade de interação entre as partes, mantendo a prova verificável publicamente. Mas essa economia interativa vem com um custo: ela depende fortemente da suposição de que a função de hash usada realmente simula aleatoriedade perfeita.
Em 1996, pesquisadores já haviam demonstrado que a segurança de Fiat-Shamir é garantida apenas dentro do modelo idealizado do oráculo aleatório. Mais tarde, nos anos 2000, surgiram provas de que certos protocolos artificiais poderiam ser quebrados quando convertidos via Fiat-Shamir. No entanto, esses casos eram considerados teóricos e sem aplicação prática. A comunidade seguiu em frente, integrando essa transformação como um componente confiável da infraestrutura digital.
Um Desafio Real e Um Ataque Real
Isso mudou em 2023, quando a Ethereum Foundation lançou uma espécie de desafio público: ofereceu uma recompensa para quem conseguisse burlar a transformação Fiat-Shamir, usando o protocolo de prova de sua escolha com a função de hash Poseidon.
Ao receber o convite para revisar esse desafio, Rothblum notou uma oportunidade. Ao lado de seus colegas, decidiu mirar no protocolo GKR, que trata-se de uma técnica eficiente para provar que um programa computacional gera um determinado resultado a partir de uma entrada secreta. Essa escolha foi estratégica, porque o protocolo GKR é usado em contextos reais, como blockchains.
O ataque consistiu em criar um programa malicioso que, ao receber como entrada o seu próprio hash, conseguia prever os desafios gerados pela função de hash e se “preparar” para passar nos testes. Em outras palavras, mesmo sem fornecer um resultado verdadeiro, o programa enganava o sistema de verificação e fazia parecer que estava dizendo a verdade.
O mais alarmante é que os pesquisadores mostraram como esse programa malicioso pode ser embutido em qualquer tarefa legítima, como validar uma tarefa de casa, uma transferência de fundos, ou qualquer outra computação crítica. O programa malicioso ainda se comporta como o original, mas carrega dentro de si a capacidade de enganar os verificadores.
Repercussão e Medidas Emergenciais Para a Segurança Digital
A descoberta teve impacto imediato. A empresa Polyhedra, que oferece um sistema de provas baseado nesse modelo (chamado Expander), foi notificada e rapidamente aplicou um patch sugerido pelos autores do estudo. A modificação impede que programas provados contenham a lógica da função de hash utilizada, dificultando a construção de provas falsas.
Outros pesquisadores, como Eylon Yogev e Gal Arnon, também propuseram ajustes para mitigar o ataque, com foco na relação de complexidade entre o programa e a função de hash. A ideia é que, se o programa for menos complexo que a função de hash, ele não será capaz de reproduzir seus cálculos internamente.
Ainda assim, há limitações: nem toda aplicação permite essa restrição, e a segurança oferecida continua sendo uma reação a um ataque específico. Como alertou Ron Rothblum, o fato de esse ataque ter sido mitigado não significa que outros não existam.
Preocupações Reais, Consequências Práticas
Enquanto alguns especialistas, como Justin Thaler, acreditam que o ataque é mais teórico do que prático, – já que programas maliciosos desse tipo não seriam eficientes o suficiente para aplicações reais –, outros não compartilham do mesmo otimismo.
Ran Canetti, da Universidade de Boston, afirmou que o ataque é sério e que código complexo pode facilmente esconder vulnerabilidades. Yogev foi ainda mais direto: “Uma vez que você encontra um buraco, sabe que o barco está vazando. Ele vai afundar.”
O temor maior é que, se não houver clareza sobre a gravidade real do ataque, a confiança em sistemas que dependem da Fiat-Shamir, e, por consequência, no modelo do oráculo aleatório — pode ser abalada de forma estrutural.
Segurança Digital e a Oportunidade para Reavaliar Fundamentos
Mais do que um ataque técnico isolado, essa descoberta reacende um debate profundo sobre os alicerces da criptografia moderna. A confiança cega na “aleatoriedade simulada” pode não ser suficiente diante da criatividade e persistência dos atacantes.
O momento pede cautela, revisão e humildade. Talvez seja hora de revisar não apenas o Fiat-Shamir, mas uma série de outras suposições consideradas sólidas. Afinal, em segurança digital, uma confiança não questionada pode ser tão perigosa quanto uma vulnerabilidade não corrigida.
Fonte: QuantaMagazine
