Solana-Validatoren beheben Zero-Day-Fehler, der zu unbegrenztem Minting bestimmter Token hätte führen können

Eine kürzlich entdeckte "Zero-Day"-Schwachstelle, die bestimmte Token auf der Solana-Blockchain betrifft, wurde behoben, nachdem die Solana Foundation, die das Netzwerk verwaltet, privat Validatoren organisiert hatte, um einen kritischen Fix zu implementieren.

Laut dem Post-Mortem der Foundation wurde die Schwachstelle erstmals am 16. April identifiziert und zwei Tage später vollständig behoben, nachdem zwei Fixes von der Mehrheit der Solana-Validatoren im Netzwerk implementiert wurden. Die Validatoren wurden privat von der Solana Foundation organisiert, die nicht versuchte, die Schwachstelle zu veröffentlichen, bevor ein Fix durchgeführt werden konnte. 

Die schwerwiegende Schwachstelle betraf das ZK ElGamal Proof-Programm, das System, das Zero-Knowledge-Proofs verifiziert, die vertrauliche Übertragungen bestimmter Token ermöglichen, die dem Token-2022-Standard von Solana folgen. Ein Angreifer hätte theoretisch eine unbegrenzte Anzahl von Token prägen oder Token von jedem Benutzerkonto stehlen können, indem er ausgeklügelte gefälschte Beweise verwendete.

Obwohl die Funktion der vertraulichen Übertragungen seit Oktober 2023 auf Solana unterstützt wird, hat die Funktion nur wenig Akzeptanz gefunden. Obwohl einige Berichte darauf hinweisen, dass der USDP-Stablecoin von Paxos die Funktion nutzt, bestritt Paxos die Berichte in einer Erklärung gegenüber The Block. "Vertrauliche Übertragungen sind derzeit auf keinem von Paxos ausgegebenen Stablecoin aktiv", sagte ein Sprecher. "Daher hatte dieser Solana-Patch keine Auswirkungen auf Paxos oder seine Produkte."

"Alle Gelder sind sicher, und es gibt keine bekannte Ausnutzung der potenziellen Schwachstelle", heißt es im Beitrag der Foundation. Es ist derzeit unklar, wer die Schwachstelle ursprünglich gemeldet hat und ob sie Anspruch auf eine Bug-Bounty haben; die Solana Foundation war für eine Stellungnahme nicht sofort erreichbar. 

Solana-Mitbegründer Anatoly Yakovenko verteidigte die Bemühungen der Foundation, das Upgrade von Kritikern auf X zu koordinieren. "Es sind dieselben Leute, die auf Ethereum 70% [Konsens] erreichen", sagte Yakovenko. "Alle Lido-Validatoren (Chorus One, P2P, etc.), Binance, Coinbase und Kraken."