Solana 財団は、ネットワーク上でToken-2022コインの無制限の発行と引き出しを可能にする可能性のある潜在的な脆弱性を修正したと発表しました。財団は本日、この問題を4月に修正したことを確認しました。.
発表によると、 Solanaソフトウェア開発者のAnzaは4月16日に初めて脆弱性の報告を受け取り、すぐにネットワーク上の他の主要開発者であるJitoおよびFiredancerと協力して脆弱性報告を評価した。
これが実際に問題であることが確認された後、チームは問題に対処するためのパッチの作成に取り組みました。報告書によると、Ottersec、Asymmetric Research、Neodymeといったブロックチェーンセキュリティ企業もサポートを提供し、パッチの展開前にレビューを行ったとのことです。.
興味深いことに、チームは最初の問題に対処しようとしたときに、コードベースの別の部分で同様のバグを発見し、それを修正するために別のパッチも開発する必要がありました。.
遅延にもかかわらず、 Solana FoundationとAnzaチームは4月17日までにバリデーターへの連絡を開始し、アップグレードのためのパッチを配布しました。4月18日20時(UTC)までに、ステークホルダーの過半数がパッチを採用し、財団はDiscordで公開発表を行うことができました。
脆弱性とは何ですか?
この脆弱性を修正するためのステルス的なアプローチは、ネットワークへの潜在的な深刻度について疑問を投げかけています。財団によると、このバグにより、技術的な専門知識を持つ人なら誰でも、ZK EIGamal Proofプログラムが有効と認める任意の証明を作成できるとのことです。
このプログラムは、取引やアカウント内の暗号化された残高の有効性を証明するゼロ知識証明が正しいかどうかを検証するため、Token-2022 のdent転送を実行する上で重要な役割を果たします。.
それはこう言った。
「高度な攻撃者は、ハッシュ化されていないこれらのコンポーネントを使用して、検証を通過する不正なアクションの偽造証拠を作成する可能性があります。」
しかし、この脆弱性はToken-22という機密トークンにのみ影響しますdentこれはSolana。Coingeckoによると、 SolanaにおけるToken-2022コインの時価総額はわずか1,650万ドルです。それでも、このバグにより、攻撃者はToken-2022コインを無制限に発行したり、任意のアカウントからこのタイプのコインを引き出せたりする可能性がありました。幸いなことに、このバグを悪用したという報告はありません。
暗号資産ユーザーが Solanaのステルス修正を批判
一方、 Solana財団が問題を公表する前にひっそりと修正するという決定は、 Solana。ETH Strategyの匿名創設者であるCloutedmind氏は、この事件に憤慨し、次のように述べたdent
「私の聞いている話は正しいでしょうか? solana メインネットにゼロデイ脆弱性があり、バリデーターの70%以上が、それが公表される前に、重大なバグをアップグレードして修正するために非公開で共謀したのです。」
他のユーザーも同様の見解を共有しているようで、あるXアカウントバリデータがユーザーの知らないうちに資産を奪う可能性があるとさえ言っている。
しかし、多くのSolana利害関係者や暗号通貨ユーザーは、これはすべての分散型ネットワークの運用方法だと指摘し、この意見を批判している。ヘリウス・ラボのCEO、メルト・ムムタズ氏は、この驚きを不条理だと表現した。
Solana共同設立者であるアナトリー・ヤコベンコ氏 Ethereum Ethereumのバリデーターも同じプロセスに従うと。
彼はこう言った。
「おい、 ethereumを70%に到達させたのは同じ連中だ。Lidoバリデータ(Chorus One、P2Pなど)全部、 binance、Coinbase、Krakenもだ。もしGethがパッチをプッシュする必要があるなら、喜んで調整するよ。」
興味深いことに、暗号通貨コミュニティの他のメンバーは、Solana Foundationが積極的に問題を修正したことを称賛しており、一方、あるユーザーはBitcoinへのリンクを。
