O Solana A fundação revelou que um crítico vulnerabilidade Afetando seu padrão de token-2022 foi remendado silenciosamente em abril, evitando o que poderia ter sido uma violação catastrófica.
Se explorada, a falha permitiria que os atacantes cunham um número ilimitado de tokens ou retirassem fundos de qualquer conta sem autorização.
De acordo com o post-mortema questão foi relatada pela primeira vez em 16 de abril e fixada em dois dias. A correção foi coordenada por equipes principais de desenvolvimento de ANZA, JITO e FIREDANCER, com apoio adicional das empresas de segurança pesquisas assimétricas, NeodyMe e OtterSec.
Compreendendo a vulnerabilidade de Solana
De acordo com a fundação, o bug afetou um recurso específico na estrutura de token-2022 de Solana, conhecida como “transferências confidenciais”.
Esse recurso depende da criptografia zero-conhecimento, especificamente no sistema de prova ZK Elgamal, para permitir transações privadas. No entanto, um componente algébrico ausente em um hash usado para verificação criptográfica deixou a porta aberta para manipulação.
Essa falha permitiu que um ator malicioso forjasse uma prova criptográfica válida. Com uma prova tão falsa, eles poderiam cuidar de novos tokens ou drenar as contas existentes sem detecção.
Embora nenhuma exploração tenha sido observada, a revelação causou alguns nervosismo no mercado. Dados De Coingecko, mostra que o valor combinado desses tokens caiu cerca de 5%, liquidando US $ 16,1 milhões após a notícia.
Reação da comunidade
Enquanto a vulnerabilidade foi tratada rapidamente, a decisão de Solana de manter o problema em sigilo atraiu reações mistas.
Os críticos argumentaram que coordenar silenciosamente essa correção reflete um nível desconfortável de centralização dentro da rede. Um membro da comunidade questionado Se os validadores poderiam usar coordenação semelhante para realizar ou encobrir ações prejudiciais no futuro.
Outros, no entanto, defenderam a abordagem. Veteranos da indústria, incluindo desenvolvedores de Bitcoin e Polygon, apontou Que patches silenciosos são uma prática recomendada padrão ao lidar com bugs de dia zero. Esses esforços nos bastidores, eles argumentaram, impedem explorações em tempo real, enquanto as equipes trabalham em uma correção segura.
Hudson Jamesum vice disse:
“Isso é totalmente bom. Bitcoin, Zcash e Ethereum tiveram casos em que os principais desenvolvedores precisavam planejar uma correção secreta de bugs. Uma boa cultura de cadeia significa ter desenvolvedores maduros que podem realizar correções furtivas”.
Co-fundador da Solana Anatoly Yakovenko Também pesou, declarando Essa coordenação do validador não é exclusiva de sua rede de blockchain. Ele comparou o processo a mecanismos de construção de consenso semelhantes em Ethereumenvolvendo validadores como Lido, Binance, Coinbase e Kraken.
