📌 Solana behebt einen Fehler, der es Angreifern ermöglicht, Token zu schürfen und abzuheben.
-Solana-Ingenieure haben einen Fehler behoben, der vertrauliche Token-22-Tokens betrifft.
achdem der Fehler ausgenutzt wurde, konnte ein Angreifer eine unendliche Anzahl von Token drucken und sie von Konten abheben.
der Fehler wurde heimlich behoben, bevor er öffentlich bekannt gegeben wurde, was zu Diskussionen in den sozialen Medien führte.
Solana-Validierer entgingen nur knapp einer Katastrophe, indem sie einen Patch veröffentlichten, der einen Fehler in der Software behebt, der es Angreifern ermöglicht hätte, unbegrenzte Mengen bestimmter Token zu drucken – oder sie von jedem Konto abzuheben.
Eine Schwachstelle, die nur vertrauliche Token-22-Token betreffen könnte, wurde in ZK ElGamal Proof gefunden, einem Programm, das Kryptowährungsguthaben authentifiziert und die Richtigkeit von Zero-Knowledge-Proofs überprüft.
Im Programm ZK ElGamal Proof auf der Blockchain waren einige algebraische Komponenten nicht im Hash enthalten, der verwendet wurde, um die Entschlüsselung der Fiat-Shamir-Transformation zu erzeugen, so die Solana Foundation in einem Autopsiebericht. Ein raffinierter Angreifer könnte diese nicht gehashten Komponenten verwenden, um einen gefälschten Beweis für eine unbefugte Handlung zu erstellen, der die Prüfung bestehen würde.
Mit anderen Worten: Ein Angreifer könnte den gefälschten Nachweis nutzen, um eine unendliche Anzahl vertraulicher Token-22-Token zu schürfen oder von Konten abzuheben.
Die potenzielle Schwachstelle wurde erstmals am 16. April im Anza Github Security Advisory gemeldet, und am nächsten Tag, nachdem die Schwachstelle von den Ingenieuren von Anza, Firedancer und Jito bewertet und bestätigt wurde, wurde ein Patch direkt für Validierer veröffentlicht.
Anza ist ein Solana-Entwicklungsunternehmen, das sich aus ehemaligen Mitarbeitern von Solana Labs zusammensetzt, und Jito ist ein bekanntes Infrastrukturunternehmen im Ökosystem. Firedancer ist ein Solana-Validator-Client, der von Jump Crypto entwickelt wird.
Asymmetric Research, Neodyme und OtterSec wurden ebenfalls zur Unterstützung und Validierung des Patches hinzugezogen.
Bis zum Mittag des 18. April hatte die überwiegende Mehrheit der Validierer den Patch akzeptiert, der einen zweiten Patch enthielt, mit dem ein ähnliches Problem in einem anderen Teil der Codebasis behoben wurde. Nach der Installation des Patches sind keine Anlagen gefährdet, und es wurde kein bekannter Missbrauch der Sicherheitslücke festgestellt.
Die kanadische Investmentfirma SOL Strategies hat eine 500-Millionen-Dollar-Wandelanleihe aufgenommen, um Solana zu kaufen, wie das Unternehmen am Mittwoch mitteilte. Dies spiegelt das wachsende Interesse an der Kryptowährung wider, die bei Meme-Coin-Entwicklern und anderen Nutzern beliebt ist, die ihre Geschwindigkeit im Vergleich zu Rivalen schätzen. Das Unternehmen, das an der kanadischen Wertpapierbörse unter dem Ticker HODL gehandelt wird, bezeichnete die Vereinbarung mit der in New York ansässigen Investmentfirma ATW Partners als die größte und erste ihrer Art im Solana-Ökosystem. {“Es ist…
Trotz der Tatsache, dass der Patch umgehend installiert wurde und keine Gelder bekanntlich verwendet wurden, sah sich die Solana Foundation in den sozialen Medien mit Kritik konfrontiert. Einige Nutzer machten auf das Update hinter den Kulissen aufmerksam, zwei Wochen bevor sich die Stiftung öffentlich per Postmortem dazu äußerte.
“Verstehe ich das richtig? Das Solana-Mainnet hatte einen Zero-Day und >70% der Validatoren haben sich privat abgesprochen, um einen kritischen Fehler zu aktualisieren und zu beheben, bevor er überhaupt veröffentlicht wurde, schrieb ein anonymer Entwickler des Ethereum-Ökosystems auf X (ehemals Twitter)
Bitcoin 
Ethereum 
Tether 
XRP 
BNB 
Solana 
USDC 
Dogecoin 
Cardano 
TRON