- Валидаторы Solana быстро исправили критическую уязвимость нулевого дня всего за два дня после обнаружения.
- Уязвимость повлияла на конфиденциальные переводы Token-22, но об эксплойтах не сообщалось.
- Фонд Соланы в частном порядке координировал исправление ситуации, что вызвало обеспокоенность общественности по поводу централизации.
Фонд Solana Foundation подтвердил исправление ошибки «нулевого дня», которая давала злоумышленникам неограниченные возможности по выпуску токенов и возможность выводить токены из учетных записей пользователей. Проблема, обнаруженная 16 апреля, была устранена в течение двух дней после того, как валидаторы быстро развернули два критических исправления по всей сети.
Согласно отчету Foundation от 3 мая, ошибка затронула программу доказательства ZK ElGamal, которая проверяет доказательства с нулевым разглашением, привязанные к конфиденциальным переводам в Token-2022, теперь называемом Token-22. Ошибка возникла из-за отсутствия алгебраических компонентов в преобразовании Фиата-Шамира, используемом для криптографической случайности, что позволяет создавать поддельные доказательства.
Несмотря на серьезность уязвимости, SolanaFoundation не сообщила об известных эксплойтах или потере средств. Патчи были внедрены группой команд разработчиков, включая Anza, Firedancer и Jito, при поддержке исследователей безопасности из OtterSec, Asymmetric Research и Neodyme.
Валидаторы координируют действия по развертыванию исправления в частном порядке
Прежде чем раскрыть уязвимость, Solana Foundation сотрудничала с валидаторами, чтобы реализовать исправление в частном порядке. Благодаря этому методу валидаторы быстро развернули решение, что вызвало новые опасения по поводу децентрализации и прозрачности.
Соучредитель Solana Анатолий Яковенко ответил на критику в X, заявив, что подобная координация происходит и в Ethereum. По его словам, основные валидаторы Ethereum, включая Binance, Coinbase, Kraken и Lido, могли бы быстро договориться о внедрении срочных исправлений безопасности, когда это необходимо.
Однако критики задаются вопросом, как Solana Foundation достучался до всех валидаторов в сети. Кроме того, пользователи выразили обеспокоенность цензурой или откатом через внесетевую координацию, ссылаясь на предыдущие аналогичные ответы на нераскрытые ошибки.
Функция конфиденциальной передачи данных получила ограниченное распространение
Технически, выявленная уязвимость представляла угрозу подделки и кражи токенов, но ее практическое воздействие оставалось ограниченным. Уязвимая функция, доказательство с нулевым разглашением, используемая для конфиденциальных переводов, оставалась минимально реализованной во всей сети.
Несмотря на предположения о своей причастности, Paxos публично отрицал эксплуатацию конфиденциальной системы переводов. Представитель заявил: «В настоящее время конфиденциальные переводы не осуществляются ни на одном из стейблкоинов, выпущенных Paxos».
Член сообщества Ethereum Райан Беркманс утверждал, что Solana остается уязвимой из-за своей зависимости от единственного клиента, готового к производству, Agave. Он подчеркнул разнообразие клиентов Ethereum, при этом ведущий клиент, Geth, удерживает 41% доли рынка, что повышает устойчивость протокола.
Solana планирует запустить свой новый сетевой клиент Firedancer в ближайшие месяцы, чтобы решить эту проблему. По данным Фонда, скоординированные экстренные исправления являются требованием для сетевой безопасности и не указывают на централизацию.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
