Команда Solana усунула вразливість

Команди Solana Foundation та Jito безпосередньо пов'язувалися з валідаторами для усунення виявленої вразливості. Баг виявили спеціалісти Anza.

Помилка стосувалася програми доказів ZK ElGamal і теоретично торкалася конфіденційних токенів, випущених за програмою Token-2022.

Баг полягав у тому, що деякі компоненти алгебри не включалися в хеш при перетворенні Фіата-Шаміра. Досвідчений зловмисник міг використати вразливість для створення фейкових доказів. Це дозволяло йому вчиняти несанкціоновані дії, включаючи випуск необмеженої кількості монет та зняття їх із будь-якого рахунку.

Експерти виявили помилку 16 квітня і вже наступного дня почали розповсюджувати патч для її усунення. Для вирішення подібної проблеми в іншій області кодової бази знадобилося друге виправлення. Більшість операторів нід внесли необхідні зміни до вечора 18 квітня.

«Оскільки помилка обмежувалася рішенням ZK ElGamal Proof, для програми Token-2022 оновлення не були потрібні. Усі засоби безпеки, і немає відомих експлойтів потенційної вразливості», — уточнила команда Solana Foundation.

Один з коментаторів зазначив, що виправлення бага без розголосу просто за домовленістю з більш ніж 70% валідаторів вказує на можливість влаштувати на Solana «нульовий день».

«Це самі люди, які домагаються 70% [консенсусу] на Ethereum. Усі валідатори Lido, Binance, Coinbase та Kraken. Якщо Geth потрібно випустити патч, радий координувати їхні дії», — захистив дії команди співзасновник Solana Анатолій Яковенко.

Наприкінці квітня організація, що стоїть за проектом, анонсувала заходи щодо підвищення децентралізації мережі.

Згідно з Blockworks, у Solana налічується 1218 активних валідаторів. За даними Ethernodes, роботу рівня виконання Ethereum підтримує 17126 нод, оператори 11025 з яких використовують агент Geth. При цьому в стейкінгу заблоковано 28% загальної емісії ETH, у SOL показник становить 65%.

Источник: cryptocurrency.tech