В Solana устранили потенциальную уязвимость
Команды Solana Foundation и Jito напрямую связывались с валидаторами для устранения выявленной уязвимости. Баг обнаружили специалисты Anza. info on ithttps://t.co/XlfHriQWNl— Haiku (@H8KUcom) May 4, 2025 Ошибка касалась программы доказательств ZK ElGamal и теоретически затрагивала конфиденциальные токены, выпущенные по программе Token-2022. Баг заключался в том, что некоторые алгебраические компоненты не включались в хеш при преобразовании Фиата-Шамира. Опытный злоумышленник мог использовать уязвимость для создания фейковых доказательств. Это позволяло ему совершать несанкционированные действия, включая выпуск неограниченного количества монет и снятие их с любого счета. Эксперты обнаружили ошибку 16 апреля и уже на следующий день начали распространять патч для ее устранения. Для решения аналогичной проблемы в другой области кодовой базы понадобилось второе исправление. Большинство операторов нод внесли необходимые изменения в ПО к вечеру 18 апреля. «Поскольку ошибка ограничивалпсь решением ZK ElGamal Proof, для программы Token-2022 обновления не требовались. Все средства в безопасности, и нет известных эксплойтов потенциальной уязвимости», — уточнила команда Solana Foundation. Один из комментаторов отметил, что исправление бага без огласки, просто по договоренности с более чем 70% валидаторов, указывает на возможность устроить на Solana «нулевой день». Bro, it’s the same people to get to 70% on ethereum. All the lido validators (chorus one, p2p, etc..) binance, coinbase, and kraken. If geth needs to push a patch, I’ll be happy to coordinate for them.— toly
Команды Solana Foundation и Jito напрямую связывались с валидаторами для устранения выявленной уязвимости. Баг обнаружили специалисты Anza.
info on ithttps://t.co/XlfHriQWNl— Haiku (@H8KUcom) May 4, 2025
Ошибка касалась программы доказательств ZK ElGamal и теоретически затрагивала конфиденциальные токены, выпущенные по программе Token-2022.
Баг заключался в том, что некоторые алгебраические компоненты не включались в хеш при преобразовании Фиата-Шамира. Опытный злоумышленник мог использовать уязвимость для создания фейковых доказательств. Это позволяло ему совершать несанкционированные действия, включая выпуск неограниченного количества монет и снятие их с любого счета.
Эксперты обнаружили ошибку 16 апреля и уже на следующий день начали распространять патч для ее устранения. Для решения аналогичной проблемы в другой области кодовой базы понадобилось второе исправление. Большинство операторов нод внесли необходимые изменения в ПО к вечеру 18 апреля.
«Поскольку ошибка ограничивалпсь решением ZK ElGamal Proof, для программы Token-2022 обновления не требовались. Все средства в безопасности, и нет известных эксплойтов потенциальной уязвимости», — уточнила команда Solana Foundation.
Один из комментаторов отметил, что исправление бага без огласки, просто по договоренности с более чем 70% валидаторов, указывает на возможность устроить на Solana «нулевой день».
Bro, it’s the same people to get to 70% on ethereum. All the lido validators (chorus one, p2p, etc..) binance, coinbase, and kraken. If geth needs to push a patch, I’ll be happy to coordinate for them.— toly
