Solana enfrenta escrutínio após correção privada de grave falha criptográfica

A Fundação Solana anunciou a correção de uma potencial vulnerabilidade na rede que poderia ter permitido a emissão e o saque ilimitados de moedas Token-2022. A fundação confirmou hoje que corrigiu o problema em abril.

Segundo o comunicado, Solana recebeu o primeiro relatório sobre a vulnerabilidade em 16 de abril e imediatamente colaborou com outros grandes desenvolvedores da rede, Jito e Firedancer, para avaliar o relatório.

Após a confirmação de que se tratava de um problema real, as equipes trabalharam em uma correção para solucioná-lo. O relatório acrescentou que empresas de segurança de blockchain, como Ottersec, Asymmetric Research e Neodyme, também forneceram suporte e revisaram a correção antes de sua implementação.

Curiosamente, a equipe descobriu um bug semelhante em outra parte do código-fonte enquanto tentava resolver o problema inicial e teve que desenvolver outra correção para solucioná-lo também.

Apesar do atraso, a Solana Fundação e a equipe da Anza começaram a entrar em contato com os validadores por volta de 17 de abril e a distribuir a atualização para que pudessem fazê-lo. Às 20h UTC do dia 18 de abril, uma supermaioria dos participantes já havia adotado a atualização, permitindo que a Fundação a anunciasse publicamente no Discord.

Qual é a vulnerabilidade?

A abordagem discreta para corrigir a vulnerabilidade levantou questões sobre sua potencial gravidade para a rede. De acordo com a fundação, a falha permite que qualquer pessoa com conhecimento técnico crie provas arbitrárias que o programa ZK EIGamal Proof aceitará como válidas.

Este programa desempenha um papel fundamental na execução da transferênciadentdo Token-2022, pois verifica se as provas de conhecimento zero que certificam a validade dos saldos criptografados em transações e contas estão corretas.

Dizia:

“Um atacante sofisticado poderia usar esses componentes não criptografados para desenvolver uma prova falsificada de uma ação não autorizada que passaria pela verificação.”

No entanto, a vulnerabilidade afeta apenasdent, um padrão de token incomum na Solana. De acordo com o Coingecko, o valor de mercado das moedas Token-2022 na Solana é de apenas US$ 16,5 milhões. Mesmo assim, a falha teria permitido que um atacante criasse um número ilimitado de moedas Token-2022 ou retirasse qualquer moeda desse tipo de qualquer conta. Felizmente, não há relatos de exploração dessa falha.

Usuários de criptomoedas criticam a correção furtiva da Solana

Entretanto, Solana Foundation de corrigir o problema discretamente antes de anunciá-lo publicamente gerou um debate sobre o grau de descentralização Solana . O fundador pseudônimo da ETH Strategy, Cloutedmind, expressou consternação com odent, afirmando:

"Estou ouvindo direito? Houve uma vulnerabilidade zero-day na rede principal solana e mais de 70% dos validadores conspiraram em segredo para atualizar e corrigir o bug crítico antes mesmo de ele ser divulgado publicamente."

Outros usuários também parecem compartilhar uma visão semelhante, com uma conta X chegando a afirmar que é possível que validadores tomem os ativos dos usuários sem o conhecimento deles.

No entanto, muitos Solana e usuários de criptomoedas criticaram essa opinião, observando que é assim que todas as redes descentralizadas funcionam. O CEO da Helius Labs, Mert Mumtaz, descreveu a surpresa como absurda.

Solana O cofundador Anatoly Yakovenko, acrescentou ainda que os validadores no Ethereum também seguem o mesmo processo, mesmo que possa demorar mais no Ethereum.

Ele disse:

"Cara, são sempre as mesmas pessoas que chegam aos 70% no ethereum. Todos os validadores da Lido (Chorus One, P2P, etc.), binance, Coinbase e Kraken. Se o Geth precisar lançar uma atualização, terei prazer em coordenar para eles."

Curiosamente, outros membros da comunidade cripto elogiaram Solana Foundation em corrigir o problema imediatamente após descobri-lo, enquanto um usuário compartilhou um link para notícias sobre Bitcoin corrigindo secretamente um bug.