Solana 基金会宣布修复了网络上一个潜在的漏洞,该漏洞可能导致Token-2022代币在网络上无限量铸造和提现。基金会今天确认,该问题已于4月份修复。.
根据公告, Solana软件开发商 Anza 于 4 月 16 日首次收到漏洞报告,并立即与网络上的其他主要开发商 Jito 和 Firedancer 合作,对漏洞报告进行评估。
确认问题属实后,团队立即着手开发补丁程序来解决该问题。报告还指出,Ottersec、Asymmetric Research 和 Neodyme 等区块链安全公司也提供了支持,并在补丁程序部署前对其进行了审查。.
有趣的是,该团队在尝试解决最初的问题时,在代码库的另一部分发现了一个类似的错误,因此不得不开发另一个补丁来修复它。.
尽管有所延迟, Solana基金会和 Anza 团队还是在 4 月 17 日开始联系验证者,并向他们分发补丁以便进行升级。到 4 月 18 日 20:00 UTC,绝大多数质押者已经采用了该补丁,基金会得以在 Discord 上公开宣布此事。
漏洞是什么?
这种隐蔽修复漏洞的方式引发了人们对其对网络潜在危害程度的担忧。据该基金会称,该漏洞允许任何具备技术专长的人创建任意证明,而零知识证明程序(ZKEIGamal Proof)会将其视为有效证明。.
该程序在执行 Token-2022dent转账中发挥着关键作用,因为它验证了用于证明交易和账户中加密余额有效性的零知识证明是否正确。.
上面写着:
“老练的攻击者可以利用这些未哈希的组件来伪造未经授权操作的证据,从而通过验证。”
然而,该漏洞仅影响Token-22机密dentSolana上并不常见。据Coingecko数据Solana上的市值仅为1650万美元。尽管如此,该漏洞仍允许攻击者无限量铸造Token-2022代币,或从任何账户中提取任何此类代币。所幸的是,目前尚未有利用该漏洞的报告。
加密货币用户批评 Solana的隐蔽修复行为。
与此同时, Solana基金会在公开宣布之前悄悄修复了该问题,引发了关于Solana。ETH Strategy 的匿名创始人Cloutedminddent表示震惊,并说道:
“我没听错吧? solana 主网上出现了一个零日漏洞,超过 70% 的验证者私下串通,在漏洞公开之前就对其进行了升级和修复。”
其他一些用户似乎也有类似的看法,其中一个 X 账户甚至表示,验证者有可能在用户不知情的情况下拿走用户的资产。
然而,许多Solana利益相关者和加密货币用户批评了这种观点,指出所有去中心化网络都是这样运作的。Helius Labs首席执行官Mert Mumtaz称这种说法荒谬至极。
Solana联合创始人Anatoly Yakovenko还补充说,Ethereum也遵循相同的流程,尽管在Ethereum。
他说:
“兄弟, ethereum上达到70%支持率的还是同一批人。所有Lido验证者(Chorus One、P2P等等)、 binance、Coinbase和Kraken。如果Geth需要推送补丁,我很乐意为他们协调。”
有趣的是,加密货币社区的其他成员称赞Solana基金会在发现问题后立即采取积极主动的措施进行修复,同时还有一位用户分享了一个链接,指向有关Bitcoin开发者秘密修复漏洞的新闻。
