A Fundação Solana anunciou a correção de uma potencial vulnerabilidade na rede que poderia ter permitido a emissão e o saque ilimitados de moedas Token-2022. A fundação confirmou hoje que corrigiu o problema em abril.
Segundo o comunicado , Solana recebeu o primeiro relatório sobre a vulnerabilidade em 16 de abril e imediatamente colaborou com outros grandes desenvolvedores da rede, Jito e Firedancer, para avaliar o relatório.
Após a confirmação de que se tratava de um problema real, as equipes trabalharam em uma correção para solucioná-lo. O relatório acrescentou que empresas de segurança de blockchain, como Ottersec, Asymmetric Research e Neodyme, também forneceram suporte e revisaram a correção antes de sua implementação.
Curiosamente, a equipe descobriu um bug semelhante em outra parte do código-fonte enquanto tentava resolver o problema inicial e teve que desenvolver outra correção para solucioná-lo também.
Apesar do atraso, a Fundação Solana e a equipe da Anza começaram a entrar em contato com os validadores por volta de 17 de abril e a distribuir a atualização para que pudessem fazê-lo. Às 20h UTC do dia 18 de abril, uma supermaioria dos participantes já havia adotado a atualização, permitindo que a Fundação a anunciasse publicamente no Discord.
Qual é a vulnerabilidade?
A abordagem discreta para corrigir a vulnerabilidade levantou questões sobre sua potencial gravidade para a rede. De acordo com a fundação, a falha permite que qualquer pessoa com conhecimento técnico crie provas arbitrárias que o programa ZK EIGamal Proof aceitará como válidas.
Este programa desempenha um papel fundamental na execução da transferênciadentdo Token-2022, pois verifica se as provas de conhecimento zero que certificam a validade dos saldos criptografados em transações e contas estão corretas.
Dizia:
“Um atacante sofisticado poderia usar esses componentes não criptografados para desenvolver uma prova falsificada de uma ação não autorizada que passaria pela verificação.”
No entanto, a vulnerabilidade afeta apenas dent , um padrão de token incomum na Solana . De acordo com o Coingecko , o valor de mercado das moedas Token-2022 na Solana é de apenas US$ 16,5 milhões. Mesmo assim, a falha teria permitido que um atacante criasse um número ilimitado de moedas Token-2022 ou retirasse qualquer moeda desse tipo de qualquer conta. Felizmente, não há relatos de exploração dessa falha.
Usuários de criptomoedas criticam a correção furtiva da Solana
Entretanto, Solana Foundation de corrigir o problema discretamente antes de anunciá-lo publicamente gerou um debate sobre o grau de descentralização Solana . O fundador pseudônimo da ETH Strategy, Cloutedmind , expressou consternação com o dent , afirmando:
"Estou ouvindo direito? Houve uma vulnerabilidade zero-day na rede principal solana e mais de 70% dos validadores conspiraram em segredo para atualizar e corrigir o bug crítico antes mesmo de ele ser divulgado publicamente."
Outros usuários também parecem compartilhar uma visão semelhante, com uma conta X chegando a afirmar que é possível que validadores tomem os ativos dos usuários sem o conhecimento deles.
No entanto, muitos Solana e usuários de criptomoedas criticaram essa opinião, observando que é assim que todas as redes descentralizadas funcionam. O CEO da Helius Labs, Mert Mumtaz, descreveu a surpresa como absurda.
O cofundador Solana Anatoly Yakovenko, acrescentou ainda que os validadores no Ethereum também seguem o mesmo processo, mesmo que possa demorar mais no Ethereum .
Ele disse:
"Cara, são sempre as mesmas pessoas que chegam aos 70% no ethereum. Todos os validadores da Lido (Chorus One, P2P, etc.), binance, Coinbase e Kraken. Se o Geth precisar lançar uma atualização, terei prazer em coordenar para eles."
Curiosamente, outros membros da comunidade cripto elogiaram Solana Foundation em corrigir o problema imediatamente após descobri-lo, enquanto um usuário compartilhou um link para notícias sobre Bitcoin corrigindo secretamente um bug.
