CVE-2024-45039

Versões do gnark anteriores à 0.11.0

A falha consiste em um problema de solidez na biblioteca gnark zk-SNARK. Quando vários compromissos são utilizados dentro de um circuito, o provador pode escolher todos os compromissos, exceto o último. Isso poderia afetar a solidez de todo o circuito, particularmente quando os compromissos são usados como desafios aleatórios para multiplicação não nativa otimizada, verificações de pesquisa, etc. No entanto, o uso de múltiplos compromissos tem sido desencorajado devido ao custo adicional para o verificador e não é suportado em certos verificadores. Espera-se que o impacto do problema seja pequeno, afetando apenas usuários que implementaram o verificador Groth16 nativo ou que o estejam usando com múltiplos compromissos.

Para resolver o problema, atualize para a versão 0.11.0 ou posterior.

Como solução alternativa temporária, considere usar apenas um único compromisso e derivar compromissos no circuito conforme necessário usando o pacote std/multicommit.