Les validateurs de Solana corrigent une faille zero-day qui aurait pu entraîner un minting illimité de certains tokens.
Signalé par The Block : La Fondation Solana a annoncé qu'une récente vulnérabilité "zero-day" affectant les transferts confidentiels sur Solana a été corrigée après que les validateurs ont coordonné une mise à jour du réseau.
Le bug, découvert le 16 avril et corrigé en deux jours, aurait pu donner à un attaquant un contrôle illimité sur certains tokens Solana.
Une récente vulnérabilité "zero-day" affectant certains tokens sur la blockchain Solana a été corrigée après que la Fondation Solana, qui supervise le réseau, a organisé en privé les validateurs pour déployer une correction critique.
Selon le bilan de la Fondation, la vulnérabilité a été identifiée pour la première fois le 16 avril et a été entièrement corrigée deux jours plus tard après le déploiement de deux correctifs sur le réseau par la majorité des validateurs de Solana. Les validateurs ont été organisés en privé par la Fondation Solana, qui n'a pas cherché à rendre publique la vulnérabilité avant qu'une correction ne puisse être apportée.
La grave vulnérabilité a affecté le programme ZK ElGamal Proof, le système qui vérifie les preuves de connaissance nulle qui alimentent les transferts confidentiels de certains tokens suivant la norme Token-2022 de Solana. Un attaquant aurait théoriquement pu créer un nombre illimité de tokens ou voler des tokens du compte de n'importe quel utilisateur en utilisant des preuves falsifiées sophistiquées.
Bien que la fonctionnalité de transferts confidentiels soit prise en charge sur Solana depuis octobre 2023, la fonctionnalité a été peu adoptée. Bien que certains rapports indiquent que le stablecoin USDP de Paxos exploite la fonctionnalité, Paxos a nié les rapports dans une déclaration à The Block. "Les transferts confidentiels ne sont actuellement pas actifs sur les stablecoins émis par Paxos", a déclaré un porte-parole. "Par conséquent, ce correctif Solana n'a pas impacté Paxos ni ses produits."
"Tous les fonds sont en sécurité, et il n'y a pas d'exploitation connue de la vulnérabilité potentielle", déclare le bilan de la Fondation. Il n'est actuellement pas clair qui a initialement signalé la vulnérabilité et s'ils auront droit à une prime de bug ; la Fondation Solana n'a pas pu être jointe immédiatement pour commenter.
Le co-fondateur de Solana, Anatoly Yakovenko, a défendu les efforts de la Fondation pour coordonner la mise à niveau face aux critiques sur X. "Ce sont les mêmes personnes pour atteindre 70% de consensus sur Ethereum," a déclaré Yakovenko. "Tous les validateurs de Lido (chorus one, p2p, etc.), Binance, Coinbase et Kraken."
- DernierLes développeurs d'Ethereum activent la mise à jour Pectra avec 11 changements pour améliorer l'expérience utilisateur, les opérations des validateurs et l'évolutivité de la couche 2.
- SuivantRiot Platforms vend du bitcoin extrait pour la première fois depuis janvier 2024, réalise un bénéfice de 38,8 millions de dollars.
