Solana Foundation已宣布在网络上固定潜在的漏洞,该网络可以无限制地铸造和撤回该网络上的代币-2022硬币。该基金会今天确认它已解决了4月的问题。
根据该公告, Solana软件开发人员ANZA首次收到了4月16日的漏洞报告,并立即与网络,Jito和Firedancer上的其他主要开发人员合作,以评估漏洞报告。
在确认这是一个真正的问题后,这些团队致力于解决这个问题。该报告补充说,区块链安全公司(例如Ottersec,非对称研究和Neodyme)也提供了支持,并在部署之前对补丁进行了审查。
有趣的是,该团队在试图解决初始问题时在代码库的另一部分发现了一个类似的错误,并且必须开发另一个补丁以解决该问题。
尽管延迟了,但Solana基金会和ANZA团队开始在4月17日之前与验证者接触,并向他们分发补丁,以便他们可以升级。到4月18日UTC的20:00,该股份的超级受损已经采用了补丁,使基金会可以在不和谐下公开宣布。
什么是脆弱性?
解决脆弱性的隐身方法提出了有关其网络潜在严重性的问题。根据基金会的说法,该错误允许具有技术专业知识的任何人创建ZK eigamal证明程序将接受有效的任意证据。
该程序在执行令牌-2022 confidential转移方面起着关键作用,因为它验证了证明交易和帐户中加密余额的有效性的零知识证明是否正确。
它说:
“一个复杂的攻击者可以使用这些未经压力的组件来开发未经授权的动作的伪造证明。”
但是,该漏洞仅影响令牌-22 confi dent Solana上不常见的令牌标准。根据Coingecko Solana上的代币硬币的市值仅为1650万美元。尽管如此,该错误还是会允许攻击者造成无限制的令牌-2022硬币或从任何帐户中撤回此类硬币。幸运的是,没有关于该错误的漏洞的报告。
加密用户批评 Solana的隐身修复
同时,SolanaSolana的辩论。 ETH策略的假名创始人CloutedMind对Inci dent,并指出:
“我听到这句话吗? solana 主网上有零日,> 70%的验证者私下合谋以升级和修补关键错误甚至在公开之前进行修补。”
其他一些用户似乎也共享类似的视图,一个X帐户甚至说验证者可以在不知情的情况下将用户的资产获取。
但是,许多Solana利益相关者和加密用户都批评了这一观点,并指出这就是所有分散网络的运作方式。 Helius Labs首席执行官Mert Mumtaz将惊喜描述为荒谬。
Solana联合创始人Anatoly Yakovenko还补充说,即使在EthereumEthereum。
他说:
“兄弟,在 ethereum上达到70%的人是同一个人。所有利多(Lido)验证者(合唱One,P2P等) binance,Coinbase和Kraken。如果Geth需要推出补丁,我会很乐意为他们协调。”
有趣的是,加密社区中的其他人赞扬Solana Foundation在发现问题后立即解决该问题,而一位用户共享了一个链接的链接,指向Bitcoin开发人员秘密修复错误的新闻
