Solana подвергается критике после обнаружения в закрытом патче серьезной криптографической уязвимости

Фонд Solana объявил об устранении потенциальной уязвимости в сети, которая могла позволить неограниченное создание и вывод монет Token-2022. Фонд сегодня подтвердил, что проблема была устранена в апреле.

Согласно сообщению, Solana , Anza, впервые получил сообщение об уязвимости 16 апреля и немедленно связался с другими крупными разработчиками сети, Jito и Firedancer, для оценки сообщения об уязвимости.

После подтверждения наличия реальной проблемы команды приступили к разработке патча для ее устранения. В отчете также отмечается, что компании, занимающиеся обеспечением безопасности блокчейна, такие как Ottersec, Asymmetric Research и Neodyme, также оказали поддержку и проверили патч перед его внедрением.

Примечательно, что команда обнаружила аналогичную ошибку в другой части кода, пытаясь устранить первоначальную проблему, и ей также пришлось разработать еще один патч для ее исправления.

Несмотря на задержку, Solana Foundation и команда Anza начали связываться с валидаторами и распространять им патч для обновления. К 20:00 UTC 18 апреля подавляющее большинство участников стейкинга приняли патч, что позволило фонду публично объявить о нем в Discord.

В чём заключается уязвимость?

Скрытый подход к устранению уязвимости вызвал вопросы о ее потенциальной серьезности для сети. По данным фонда, ошибка позволяет любому, обладающему техническими знаниями, создавать произвольные доказательства, которые программа ZK EIGamal Proof признает действительными.

Эта программа играет ключевую роль в осуществленииdentпередачи токенов Token-2022, поскольку она проверяет корректность доказательств с нулевым разглашением, подтверждающих действительность зашифрованных остатков в транзакциях и счетах.

Там было написано:

«Опытный злоумышленник может использовать эти нехешированные компоненты для создания поддельного доказательства несанкционированного действия, которое пройдет проверку»

Однако уязвимость затрагивает толькоdentтокены Token-22, стандарт которых не распространен на Solana. По данным Coingecko, рыночная капитализация монет Token-2022 на Solana составляет всего 16,5 миллионов долларов. Тем не менее, эта ошибка позволила бы злоумышленнику выпускать неограниченное количество монет Token-2022 или выводить любые монеты этого типа с любого счета. К счастью, сообщений об использовании этой уязвимости пока нет.

Криптовалютники критикуют скрытую разработку Solana

Тем временем Solana тихо исправить проблему, не объявляя об этом публично, вызвало дискуссию о степени децентрализации Solana Основатель ETH Strategy, решение фонда , выступающий под псевдонимом, выразил обеспокоенность инцидентомdent, заявив: Cloutedmind

«Я правильно понимаю? В основной сети solana произошла уязвимость нулевого дня, и более 70% валидаторов в частном порядке сговорились обновить и исправить критическую ошибку еще до того, как она стала достоянием общественности»

Похоже, что и другие пользователи разделяют это мнение: один из пользователей даже утверждает, что валидаторы могут забирать активы пользователей без их ведома.

Однако многие Solana и пользователи криптовалют раскритиковали это мнение, отметив, что так работают все децентрализованные сети. Генеральный директор Helius Labs Мерт Мумтаз назвал это удивление абсурдным.

Solana Соучредитель Анатолий Яковенко также добавил, что валидаторы в Ethereum следуют тому же процессу, хотя на Ethereum.

Он сказал:

«Брат, это те же самые люди, которые достигли 70% на ethereum. Все валидаторы Lido (Chorus One, P2P и т. д.) binance, Coinbase и Kraken. Если Geth понадобится выпустить патч, я с удовольствием помогу им в этом»

Примечательно, что другие участники криптосообщества высоко оценили Solana , который оперативно устранил проблему сразу после ее обнаружения, а один из пользователей поделился ссылкой на новость о том, что Bitcoin тайно исправили ошибку.