Валидаторы Solana устранили уязвимость нулевого дня, которая могла привести к неограниченной эмиссии определенных токенов

Недавно обнаруженная уязвимость "нулевого дня", затрагивающая определенные токены на блокчейне Solana, была устранена после того, как Фонд Solana, управляющий сетью, в частном порядке организовал валидаторов для внедрения критического исправления.

Согласно отчету Фонда, уязвимость была впервые выявлена 16 апреля и была полностью устранена через два дня после внедрения двух исправлений в сеть большинством валидаторов Solana. Валидаторы были организованы в частном порядке Фондом Solana, который не стремился разглашать информацию об уязвимости до того, как было найдено решение. 

Серьезная уязвимость затрагивала программу ZK ElGamal Proof, систему, которая проверяет доказательства с нулевым разглашением, обеспечивающие конфиденциальные переводы определенных токенов, соответствующих стандарту Token-2022 Solana. Теоретически злоумышленник мог бы создать неограниченное количество токенов или украсть токены с любого пользовательского аккаунта, используя сложные поддельные доказательства.

Хотя функция конфиденциальных переводов поддерживается на Solana с октября 2023 года, она не получила широкого распространения. Хотя некоторые отчеты указывают на то, что стейблкоин USDP от Paxos использует эту функцию, Paxos опровергла эти сообщения в заявлении для The Block. "Конфиденциальные переводы в настоящее время не активны ни на одном из стейблкоинов, выпущенных Paxos," - сказал представитель. "Поэтому это исправление Solana не повлияло на Paxos и ее продукты."

"Все средства в безопасности, и нет известных случаев эксплуатации потенциальной уязвимости," - говорится в заявлении Фонда. В настоящее время неясно, кто изначально сообщил об уязвимости и будет ли он иметь право на вознаграждение за обнаружение ошибки; Фонд Solana не удалось сразу получить комментарий. 

Соучредитель Solana Анатолий Яковенко защитил усилия Фонда по координации обновления от критиков на X. "Это те же люди, которые достигают 70% [консенсуса] на ethereum," - сказал Яковенко. "Все валидаторы lido (chorus one, p2p и т.д.), binance, coinbase и kraken."