📌 Solana corrige un fallo que potencialmente permitía a los atacantes minar y recoger tokens.
– Los ingenieros de Solana han corregido un fallo que afectaba a los tokens confidenciales Token-22.
Con el fallo, un atacante podía imprimir un número infinito de tokens y retirarlos de las cuentas.
El fallo se solucionó de forma encubierta antes de que se anunciara públicamente, lo que desató el debate en las redes sociales. Los validadores de Solana evitaron por poco el desastre al publicar un parche que corregía un fallo en el software que podría haber permitido a los atacantes imprimir cantidades ilimitadas de determinados tokens – o retirarlos de cualquier cuenta.
En ZK ElGamal Proof, un programa que autentica los saldos de criptomonedas y verifica la exactitud de las pruebas de conocimiento-cero, se encontró una vulnerabilidad que sólo podía afectar a los tokens confidenciales Token-22.
En el programa ZK ElGamal Proof de la blockchain, algunos componentes algebraicos no se incluyeron en el hash utilizado para generar el descifrado de la transformación Fiat-Shamir, dijo la Fundación Solana en un informe de autopsia. Un atacante sofisticado podría utilizar estos componentes sin hash para crear una prueba falsa de acción no autorizada que pasaría la inspección.
En otras palabras, un atacante podría utilizar la prueba falsa para minar un número infinito de tokens Token-22 confidenciales o retirarlos de cuentas. La potencial vulnerabilidad fue reportada por primera vez al Github Security Advisory de Anza el 16 de abril, y al día siguiente, después de que la vulnerabilidad fuera evaluada y confirmada por los ingenieros de Anza, Firedancer y Jito, se publicó un parche directamente para los validadores.
Anza es una empresa de desarrollo de Solana formada por antiguos empleados de Solana Labs, y Jito es una empresa de infraestructuras muy conocida en el ecosistema. Firedancer es un cliente validador de Solana en desarrollo por Jump Crypto.
Asymmetric Research, Neodyme y OtterSec también participaron para apoyar y validar el parche.
A mediodía del 18 de abril, la gran mayoría de los operadores de validación habían aceptado el parche, que incluía un segundo parche utilizado para solucionar un problema similar en una parte diferente de la base de código. Ningún activo está en peligro tras la instalación del parche, y no se ha detectado ninguna explotación conocida de la vulnerabilidad.
La empresa de inversión canadiense SOL Strategies recaudó un bono convertible de 500 millones de dólares para comprar Solana, dijo la compañía el miércoles, lo que refleja el creciente interés en la criptomoneda que ha sido popular entre los desarrolladores de meme-coin y otros usuarios que les gusta su velocidad en comparación con sus rivales. La compañía, que cotiza en la Bolsa de Valores de Canadá bajo el ticker HODL, calificó el acuerdo con la firma de inversión con sede en Nueva York ATW Partners como el más grande y el primero de su tipo en el ecosistema de Solana. { Es…
A pesar de que el parche se instaló rápidamente y no se sabe que se hayan utilizado fondos, la Fundación Solana se ha enfrentado a críticas en las redes sociales. Algunos usuarios llamaron la atención sobre la actualización entre bastidores dos semanas antes de que la fundación la abordara públicamente a través de postmortem.
¿Lo he entendido bien? Solana mainnet tuvo un día cero y >70% de los validadores se confabularon en privado para actualizar y corregir un error crítico antes de que se hiciera público, escribió un desarrollador anónimo del ecosistema Ethereum en X (antes Twitter).
Bitcoin 
Ethereum 
Tether 
XRP 
BNB 
Solana 
USDC 
Dogecoin 
Cardano 
TRON