Solana schließt schnell eine kritische Schwachstelle in ZK

📌 Solana schließt schnell eine kritische Schwachstelle in ZK ElGamal und verhindert den Verlust von Vermögenswerten.

552025 Eine kritische Schwachstelle wurde im ZK ElGamal Proof-of-Concept-Programm für die Solana-Blockchain entdeckt, das die Grundlage für die sichere Verarbeitung vertraulicher Token-2022-Überweisungen bildet. Dank der gemeinsamen Anstrengungen von Ingenieuren und Sicherheitsspezialisten wurde der Fehler umgehend behoben, so dass keine Gelder gefährdet wurden. Am 16. Jito

– 552025 Eine kritische Schwachstelle wurde im ZK ElGamal Proof-of-Concept-Programm für die Solana-Blockchain entdeckt, das die Grundlage für die sichere Verarbeitung vertraulicher Token-2022-Überweisungen bildet. Dank der gemeinsamen Anstrengungen von Ingenieuren und Sicherheitsspezialisten wurde der Fehler umgehend behoben, so dass keine Gelder gefährdet wurden. Am 16.

April 2025 meldete ein aufmerksamer Forscher die Schwachstelle im Anza Github Security Advisory und fügte einen Proof of Concept bei. Die Schwachstelle, die mit dem ZK ElGamal Proof-Programm zusammenhängt, ermöglichte es einem Angreifer, gefälschte Proofs zu generieren, was zu unbefugten Aktivitäten wie dem Mining einer unbegrenzten Anzahl von Token oder dem Diebstahl von Geldern von Konten mit vertraulichen Token-2022-Tokens führen konnte.

Das Problem lag in einem Implementierungsfehler in der Fiat-Shamir-Transformation, die zur Erzeugung nicht-interaktiver Zero-Disclosure-Proofs verwendet wurde. Der Schlüssel-Hash-Funktion fehlten bestimmte algebraische Komponenten, wodurch die Integrität der Beweisprüfung beeinträchtigt wurde. Glücklicherweise wurden keine Exploits verwendet, und die Techniker von Anza, Firedancer und Jito begannen schnell, die Schwachstelle zu bewerten. Die Analyse bestätigte die Möglichkeit, ungültige Beweise zu erstellen, die das System fälschlicherweise für gültige Beweise hielt.

Am 17. April um 18:00 UTC begannen die Teams der Solana Foundation und von Jito, die Betreiber von Validatoren direkt zu kontaktieren, um einen sorgfältig ausgearbeiteten Patch zu verteilen. Am Abend desselben Tages, gegen 23:00 Uhr UTC, wurde jedoch eine zweite Schwachstelle in einem verwandten Abschnitt der Codebasis entdeckt, die einen zusätzlichen Patch erforderte. Beide Patches wurden von führenden Sicherheitsunternehmen wie Asymmetric Research, Neodyme und OtterSec gründlich getestet, die ihre Zuverlässigkeit bestätigten. Um 20:00 UTC am 18. April hatte die große Mehrheit des Netzwerks die Korrekturen angewendet, und um 21:01 UTC wurde die Lösung über Discord öffentlich bekannt gegeben. Der Solana-Cluster ist nun mit vollständig gepatchten Versionen einsatzbereit, einschließlich Agave (v2.1.21 und höher, v2.2.11 und höher), Jito-Solana (v2.1.21-jito und höher, v2.2.11-jito und höher) und Firedancer (v0.411.20121 und höher).