Solana gerät nach privater Behebung einer schwerwiegenden kryptografischen Sicherheitslücke in die Kritik

Die Solana Foundation hat die Behebung einer potenziellen Sicherheitslücke im Netzwerk bekannt gegeben, die das unbegrenzte Prägen und Abheben von Token-2022-Coins ermöglicht hätte. Die Stiftung bestätigte heute, dass das Problem im April behoben wurde.

Laut der AnkündigungSoftwareentwickler Solana Anza am 16. April als Erster einen Bericht über die Sicherheitslücke und arbeitete umgehend mit anderen großen Entwicklern im Netzwerk, Jito und Firedancer, zusammen, um den Bericht über die Sicherheitslücke zu bewerten.

Nachdem sich das Problem als tatsächlich aufgetreten bestätigt hatte, arbeiteten die Teams an einem Patch, um es zu beheben. Der Bericht ergänzte, dass Blockchain-Sicherheitsunternehmen wie Ottersec, Asymmetric Research und Neodyme ebenfalls Unterstützung leisteten und den Patch vor seiner Veröffentlichung prüften.

Interessanterweise entdeckte das Team bei dem Versuch, das ursprüngliche Problem zu beheben, einen ähnlichen Fehler in einem anderen Teil der Codebasis und musste daher einen weiteren Patch entwickeln, um auch diesen zu beheben.

Trotz der Verzögerung Solana Foundation kontaktierten

Worin besteht die Schwachstelle?

Die heimliche Vorgehensweise bei der Behebung der Sicherheitslücke hat Fragen hinsichtlich ihrer potenziellen Schwere für das Netzwerk aufgeworfen. Laut der Stiftung ermöglicht der Fehler jedem mit den entsprechenden technischen Kenntnissen, beliebige Beweise zu erstellen, die vom ZK EIGamal Proof-Programm als gültig akzeptiert werden.

Dieses Programm spielt eine Schlüsselrolle bei der Durchführung derdentToken-2022-Übertragung, da es überprüft, ob die Zero-Knowledge-Beweise, die die Gültigkeit verschlüsselter Salden in Transaktionen und Konten bestätigen, korrekt sind.

Es hieß:

„Ein versierter Angreifer könnte diese unverschlüsselten Komponenten nutzen, um einen gefälschten Beweis für eine unautorisierte Handlung zu erstellen, der die Überprüfung besteht.“

Die Sicherheitslücke betrifft jedoch ausschließlich vertrauliche Token-22-dentSolanaSolana SolanaSolanaSolanaSolana SolanaSolana. Laut Coingeckodie Marktkapitalisierung von Token-2022-Coins auf Solana lediglich 16,5 Millionen US-Dollar. Dennoch hätte der Fehler es einem Angreifer ermöglicht, unbegrenzt Token-2022-Coins zu prägen oder beliebige Token dieses Typs von jedem beliebigen Konto abzuheben. Glücklicherweise gibt es keine Berichte über eine Ausnutzung dieser Sicherheitslücke.

Krypto-Nutzer kritisieren Solanaheimliche Manipulation

Solana SolanaSolanaSolana SolanaSolanaSolanaSolana SolanaSolana ist. Der pseudonyme Gründer von ETH Strategy, Cloutedmind, zeigte sich bestürzt über dendentund erklärte:

„Habe ich das richtig verstanden? Es gab eine Zero-Day-Schwachstelle im solana Mainnet, und über 70 % der Validatoren haben sich heimlich abgesprochen, um das kritische Problem zu beheben, bevor es überhaupt öffentlich bekannt wurde.“

Einige andere Nutzer scheinen eine ähnliche Ansicht zu vertreten, wobei ein X-Account sogar behauptet, dass es möglich sei, dass Validatoren Vermögenswerte der Nutzer ohne deren Wissen einziehen.

jedoch Solana Akteure und Krypto-Nutzer kritisierten diese Ansicht Mert Mumtaz bezeichnete die Überraschung als absurd.

Solana -Mitbegründer Anatoly Yakovenko fügte außerdem hinzu, dass Validatoren auf EthereumEthereumEthereum EthereumEthereumEthereumEthereum EthereumEthereum.

Er sagte:

„Alter, das sind dieselben Leute, die bei ethereum70 % erreicht haben. Alle Lido-Validatoren (Chorus One, P2P usw.), binance, Coinbase und Kraken. Falls Geth einen Patch veröffentlichen muss, koordiniere ich das gerne für sie.“

Interessanterweise lobten andere Mitglieder der Krypto-Community Solana Foundation bei der Behebung des Problems unmittelbar nach dessen Entdeckung, während ein Nutzer einen Link zu einer Meldung über Bitcoin Entwickler teilte, die heimlich einen Fehler behoben hatten.