Solana Foundation недавно устранила ошибку, которая позволяла хакерам создавать токены и похищать их из аккаунтов пользователей. Ошибка была обнаружена 16 апреля и теперь исправлена.
Суть уязвимости
Согласно анализу Фонда, уязвимость могла позволить хакеру создать недействительное доказательство, что влияло на конфиденциальность блокчейна. Ошибка затрагивала программы Token-2022 и ZK ElGamal Proof, что могло привести к похищению конфиденциальных токенов Token-22. Удаление некоторых алгебраических компонентов из хэша в процессе генерации транскрипта Fiat-Shamir положило начало уязвимости.
Реакция валидаторов и центральные проблемы
После обнаружения уязвимости, многие валидаторы Solana, такие как Anza, Firedancer и Jito, внедрили патчи уже через два дня. Обсуждались проблемы централизованности, связанные с близкими связями Фонда и валидаторов, что вызывает опасения по поводу возможности центрального сбоя в децентрализованной системе.
Общее состояние безопасности
По информации Фонда, в данный момент нет известных случаев эксплуатации уязвимости и все средства остаются в безопасности. Валидаторы продолжают следить за состоянием сети и проводят необходимые обновления для предотвращения подобных инцидентов в будущем.
Ошибка, обнаруженная в программном обеспечении Solana, была успешно устранена, однако возникшие вопросы о централизованности действий валидаторов могут продолжать волновать сообщество.
