Solana устранила уязвимость в безопасности токенов
Уязвимость в системе конфиденциальных токенов Solana
Фонд Solana выявил уязвимость в системе конфиденциальных токенов, позволяющую несанкционированный выпуск или вывод токенов через поддельные нулевые доказательства. Основные моменты:
- Уязвимость была сообщена 16 апреля через GitHub-совет безопасности Anza.
- Инженеры Solana из Anza, Firedancer и Jito подтвердили проблему и начали её устранение.
- Проблема возникла в программе ZK ElGamal Proof, входящей в систему конфиденциальных переводов Token-22.
- Отсутствие алгебраических компонентов в процессе хеширования привело к возможности эксплуатации атакующими.
- Ошибка позволяла подделывать недействительные доказательства, принимаемые ончейн-проверяющим.
- Не затронуты стандартные SPL токены или основная логика программы Token-2022.
- Патчи были распространены среди операторов валидаторов с 17 апреля, большинство применило исправления к 18 апреля.
- Нет доказательств эксплуатации; все средства остаются в безопасности.