Polygon zkEVM ROM Spearbit审计报告解读（2023年6月Dragon Fruit升级版本）

1. 引言

前序博客有：

• Polygon zkEVM Hexens审计报告解读
• Polygon zkEVM Spearbit审计报告解读（2022年12月版本）
• Polygon zkEVM Spearbit审计报告解读（2023年1月版本）
• Polygon zkEVM Spearbit审计报告解读（2023年3月版本）
• Polygon zkEVM的Dragon Fruit和Inca Berry升级

Dragon Fruit升级点有：

• 改进了网络
• 支持了最新的以太坊opcode——PUSH0

Dragon Fruit，又名ForkID5，包含了2个新特性：

• 1）PUSH0：最新的以太坊opcode，PUSH0已包含在以太坊Shanghai硬分叉中。一旦Dragon Fruit升级完成，Polygon zkEVM Mainnet Beta与最新版本的Solidity一致，以维护rollup的EVM等价性。更多PUSH0知识，见EIP-3855。
• 2）RLP解析：修复了交易解析的一个非致命错误。

主要见：

• Polygon zkEVM Security Review: zkEVM ROM June Upgrade features review

本轮审计重点关注zkevm-rom的fix-RLP-push0 feature：

• https://github.com/0xPolygonHermez/zkevm-rom/tree/feature/fix-RLP-push0

本轮审计历时16天。共发现8个漏洞，其中高危漏洞2个，低危漏洞1个，信息提示类5个。

在本审计报告中，风险分级为：

风险级别	影响：高	影响：中等	影响：低
可能性：高	致命	高	中等
可能性：中等	高	中等	低
可能性：低	中等	低	低

其中：

• 1）影响：
  • 高：会导致丢失协议中$>10\%$资产，或对大多数用户有重大危害。
  • 中等：丢失$<10\%$资产，或仅丢失一部分用户的资产，但仍不可接受。
  • 低：丢失很烦人但可接收。适用于可以很容易修复的网格攻击，甚至是gas不足。
• 2）概率：
  • 高：几乎确定会发生，易于操作，或不易于操作但激励诱人。
  • 中等：仅有可行性可能或动机，但相对有可能发生。
  • 低：需要stars to align，或者几乎没有动机。
• 3）风险级别：
  • 致命：（若已部署）必须尽快修复。
  • 高：（若未部署），需在部署前修复。
  • 中等：应该修复。
  • 低：可修复。

2. 高危漏洞

2.1 高危漏洞1：PUSH0中缺少ZK counters检查

上下文见：

• zkevm-rom:stack-operations.zkasm#L11

PUSH0中未更新ZK couners。
建议：

• 像其它PUSH指令一样，检查out of counters。

修复PR见：

• Effective gas implementation #290

2.2 高危漏洞2：对有效gas计算，缺少arith ZK counters检查

上下文见：

• zkevm-rom: process-tx.zkasm#L88

_effGasPriceShifted会占用arith ZK counters，因其2次使用了ARITH。

建议：

• 添加arith counters检查。

修复PR见：

• Effective gas implementation #290

3. 低危漏洞

3.1 低危漏洞1：对PUSH0缺少文档注释

上下文见：

• zkevm-rom: stack-operations.zkasm#L1-L9

opPUSH0上的注释，仅适于opPUSH1及其它。

建议：

• 将opPUSH0实现移至现有注释之上，并添加PUSH0注释。

修复PR见：

• Effective gas implementation #290

4. 信息类提示

4.1 信息类提示1：关于RLP逻辑修复缺少文档说明

上下文件：

• zkevm-rom: utils.zkasm#L931

缺少文档说明，为何RLP解析中的RLP错误处理不同于其它。
建议：

• 添加解释注释。

修复PR见：

• Effective gas implementation #290

4.2 信息类提示2：关于RLP修复方法的通用反馈

上下文见：

• zkevm-rom: vars.zkasm#L51

似乎是为了解决不同上下文，ZK coutners表现不同，而引入了新的全局变量isLoadingRLP。这回增加复杂性、前缀的按时交互依赖，以及增加代码理解难度。

建议：

• 理论上，最好将其依赖明确，如具有额外的flag参数来表示来自RLP处理的调用，且应采用不同的方式处理counter errors。
• 可以理解这可能不切实际，若这些调用源自很多不同地方。
• 另一个不那么激进的建议是：只在所需的utils中，而不是在较低级别的handleBatchError中，基于全局isLoadingRLP进行分支。相比于现有的会影响每个batch error处理，这种修复方式，只会影响一些有限的功能范围。同时会更明确哪些utils依赖于该全局状态。。
  （这种方法的缺点可能是，如果RLP处理更改为使用一些新的utils，则必须记住在每个utils中检查isLoadingRLP。）

Polygon zkEVM回复：

• 决定使用isLoadingRLP方法，因为它在向RLP解析添加新代码时提供了更好的安全性，因为它是全局处理的，并且不是特定于函数的。此外，刚刚删除的RLP错误和所有zk-counters都通过handleBatchError处理。

4.3 信息类提示3：重复注释

上下文见：

• zkevm-rom: process-tx.zkasm#L74

第74行的注释，与第83行的注释重复。

建议：

• 移除第74行的注释。

修复PR见：

• Effective gas implementation #290

4.4 信息类提示4：注释中的标记混乱

上下文见：

• zkevm-rom: process-tx.zkasm#L76
• zkevm-rom: process-tx.zkasm#L78

注释中的=>标记混乱，其与zkasm语法含义相反。
建议：

• 使用=，如A = gasPrice，或左右互换，如gasPrice => A。

修复PR见：

• Effective gas implementation #290

4.5 信息类提示5：注释不一致

上下文见：

• zkevm-rom: process-tx.zkasm#L79

在运算之前，注释表示B值在[0, 255]范围内，而在其它地方的注释，解释了该运算的效果。
建议：

• 替换为[1, 256]

修复PR见：

• Effective gas implementation #290

附录：Polygon Hermez 2.0 zkEVM系列博客

• ZK-Rollups工作原理
• Polygon zkEVM——Hermez 2.0简介
• Polygon zkEVM网络节点
• Polygon zkEVM 基本概念
• Polygon zkEVM Prover
• Polygon zkEVM工具——PIL和CIRCOM
• Polygon zkEVM节点代码解析
• Polygon zkEVM的pil-stark Fibonacci状态机初体验
• Polygon zkEVM的pil-stark Fibonacci状态机代码解析
• Polygon zkEVM PIL编译器——pilcom 代码解析
• Polygon zkEVM Arithmetic状态机
• Polygon zkEVM中的常量多项式
• Polygon zkEVM Binary状态机
• Polygon zkEVM Memory状态机
• Polygon zkEVM Memory Align状态机
• Polygon zkEVM zkASM编译器——zkasmcom
• Polygon zkEVM哈希状态机——Keccak-256和Poseidon
• Polygon zkEVM zkASM语法
• Polygon zkEVM可验证计算简单状态机示例
• Polygon zkEVM zkASM 与 以太坊虚拟机opcode 对应集合
• Polygon zkEVM zkROM代码解析（1）
• Polygon zkEVM zkASM中的函数集合
• Polygon zkEVM zkROM代码解析（2）
• Polygon zkEVM zkROM代码解析（3）
• Polygon zkEVM公式梳理
• Polygon zkEVM中的Merkle tree
• Polygon zkEVM中Goldilocks域元素circom约束
• Polygon zkEVM Merkle tree的circom约束
• Polygon zkEVM FFT和多项式evaluate计算的circom约束
• Polygon zkEVM R1CS与Plonk电路转换
• Polygon zkEVM中的子约束系统
• Polygon zkEVM交易解析
• Polygon zkEVM 审计及递归证明
• Polygon zkEVM发布公开测试网2.0
• Polygon zkEVM测试集——创建合约交易
• Polygon zkEVM中的Recursive STARKs
• Polygon zkEVM的gas定价
• Polygon zkEVM zkProver基本设计原则 以及 Storage状态机
• Polygon zkEVM bridge技术文档
• Polygon zkEVM Trustless L2 State Management 技术文档
• Polygon zkEVM中的自定义errors
• Polygon zkEVM RPC服务
• Polygon zkEVM Prover的 RPC功能
• Polygon zkEVM PIL技术文档
• Polygon zkEVM递归证明技术文档（1）【主要描述了相关工具 和 证明的组合、递归以及聚合】
• Polygon zkEVM递归证明技术文档（2）—— Polygon zkEVM架构设计
• Polygon zkEVM递归证明技术文档（3）——代码编译及运行
• Polygon zkEVM递归证明技术文档（4）—— C12 PIL Description
• Polygon zkEVM递归证明技术文档（5）——附录：借助SNARKjs和PIL-STARK实现proof composition
• eSTARK：Polygon zkEVM的扩展STARK协议——支持lookup、permutation、copy等arguments（1）
• eSTARK：Polygon zkEVM的扩展STARK协议——支持lookup、permutation、copy等arguments（2）
• eSTARK：Polygon zkEVM的扩展STARK协议——支持lookup、permutation、copy等arguments（3）
• Polygon zkEVM的Dragon Fruit和Inca Berry升级
• Polygon zkEVM协议治理、升级及其流程
• Polygon zkEVM 节点软件release日志
• Polygon zkEVM bridge服务 release日志
• Polygon zkEVM DataStreamer
• Polygon zkEVM Goldilocks域各项运算性能
• Polygon zkEVM Hexens审计报告解读
• Polygon zkEVM Spearbit审计报告解读（2022年12月版本）
• Polygon zkEVM Spearbit审计报告解读（2023年1月版本）
• Polygon zkEVM Spearbit审计报告解读（2023年3月版本）