По данным из The Block: Фонд Solana объявил, что недавняя уязвимость "нулевого дня", затрагивающая конфиденциальные трансферы на Solana, была устранена после того, как валидаторы координировали обновление сети.
Обнаруженный 16 апреля баг был исправлен в течение двух дней и мог бы предоставить злоумышленнику неограниченный контроль над определенными токенами Solana.
Последнее уязвимость "нулевого дня", затрагивающая определенные токены на блокчейне Solana, была устранена после того, как Фонд Solana, управляющий сетью, организовал валидаторов для развертывания критической исправляющей ленты.
Согласно послемортему Фонда, уязвимость была обнаружена 16 апреля и полностью исправлена спустя два дня после двух патчей, развернутых в сети большинством валидаторов Solana. Валидаторы были организованы Фондом Solana приватно и не стремились раскрывать уязвимость до того, как будет найдено исправление.
Тяжелая уязвимость затрагивала программу ZK ElGamal Proof, систему, которая проверяет доказательства нулевого знания, поддерживающие конфиденциальные трансферы определенных токенов, следующих стандарту Token-2022 Solana. Злоумышленник мог теоретически создать неограниченное количество токенов или украсть токены со счета любого пользователя, используя сложные поддельные доказательства.
Хотя функция конфиденциальных трансферов поддерживается на Solana с октября 2023 года, она пока мало используется. Хотя некоторые отчеты указывают на то, что стейблкоин USDP от Paxos использует эту функцию, Paxos опроверг эти отчеты в заявлении для The Block. "Конфиденциальные трансферы в настоящее время не используются ни на одном стейблкоине, выпущенном Paxos," - сказал представитель. "Следовательно, этот патч Solana не повлиял на Paxos или его продукты."
"Все средства в безопасности, и неизвестно об эксплуатации потенциальной уязвимости," - говорится в послании Фонда. На данный момент неясно, кто первым выявил уязвимость, и имеет ли он право на вознаграждение за найденный баг; с Фондом Solana не удалось сразу связаться для комментариев.
Сооснователь Solana, Анатолий Яковенко, защитил усилия Фонда по координации обновления от критиков на X. "Это те же люди, которые добились 70% [консенсуса] на Ethereum," - сказал Яковенко. "Все валидаторы lido (chorus one, p2p, и т. Д.), Binance, Coinbase и Kraken."