Что произошло? Команда НКО Solana Foundation, созданная для поддержки одноименного блокчейна, устранила уязвимость нулевого дня, которая могла бы позволить злоумышленникам выпускать конфиденциальные токены и выводить их из учетных записей пользователей. Впервые уязвимость была обнаружена 16 апреля, однако специалисты не выявили ни одного эксплойта, совершенного с ее помощью.
Материал Cointelegraph
Что еще известно? Спустя два дня после обнаружения большинство валидаторов внедрили необходимые исправления, которые устранили уязвимость. Организация заверила, что средства пользователей находятся в безопасности.
Она касалась двух программ: Token-2022 и ZK ElGamal Proof. Token-2022 относится к выпуску токенов и учетных записей, а ZK ElGamal Proof проверяет правильность доказательств с нулевым разглашением (ZK), чтобы показать точные остатки на счетах.
Уязвимость могла позволить злоумышленнику создать поддельное доказательство, которое проходит проверку для выпуска и кражи конфиденциальных токенов Token-22.
Конфиденциальные токены Token-22, или «токены расширения», используют доказательства с нулевым разглашением для конфиденциальных переводов и направлены на включение расширенных функций.
Основную роль в исправлении уязвимости сыграли фирмы-разработчики блокчейна Anza, Firedancer и Jito, участие приняли также Asymmetric Research, Neodyme и OtterSec.
Решение проблемы с валидаторами в частном порядке и тесная связь Solana Foundation с ними вызвали обеспокоенность представителей криптосообщества в связи с чрезмерной централизацией. В сообществе протокола Curve Finance задались вопросами о том, зачем организации список всех валидаторов и их контактные данные.
«О чем еще они говорят в этих каналах связи?», — задается вопросом один из участников обсуждения, отмечая, что стороны могут сговориться, чтобы потенциально подвергнуть цензуре транзакции или откатить цепочку.
Гендиректор Solana Labs Анатолий Яковенко не стал напрямую отрицать эти заявления, но сказал, что члены сообщества Ethereum также могут координировать свои действия для устранения аналогичной ошибки безопасности. Он уточнил, что свыше 70% валидаторов Ethereum также контролируются криптобиржами или протоколами стейкинга, такими как Lido.
В августе Solana Foundation и валидаторы устранили еще одну критическую уязвимость в частном порядке. Тогда исполнительный директор фонда Дэн Альберт сказал, что возможность координировать патч не означает, что Solana централизована.
