Solana comble rapidement une faille critique de ZK ElGamal

📌 Solana comble rapidement une faille critique de ZK ElGamal, évitant ainsi la perte d’actifs.

552025 Une faille critique a été découverte dans le programme de preuve de concept de ZK ElGamal pour la blockchain Solana, qui est lépine dorsale du traitement sécurisé des transferts sensibles de Token-2022. Grâce aux efforts concertés des ingénieurs et des spécialistes de la sécurité, cette faille a été rapidement corrigée, empêchant ainsi la compromission des fonds. Jito

– 552025 Une faille critique a été découverte dans le programme de preuve de concept de ZK ElGamal pour la blockchain Solana, qui est l’épine dorsale du traitement sécurisé des transferts sensibles de Token-2022. Grâce aux efforts concertés des ingénieurs et des spécialistes de la sécurité, cette faille a été rapidement corrigée, empêchant ainsi la compromission des fonds.

Le 16 avril 2025, un chercheur vigilant a signalé la vulnérabilité à l’avis de sécurité Github d’Anza, en joignant une preuve de concept. La faille, liée au programme de preuve ZK ElGamal, permettait à un attaquant de générer de fausses preuves, ce qui pouvait conduire à des activités non autorisées telles que l’extraction d’un nombre illimité de jetons ou le vol de fonds sur des comptes contenant des jetons confidentiels du Token-2022.

Le problème résidait dans une erreur de mise en œuvre de la transformation Fiat-Shamir utilisée pour générer des preuves non interactives à divulgation nulle. Certains composants algébriques manquaient à la fonction de hachage de la clé, ce qui compromettait l’intégrité de la vérification de la preuve. Heureusement, aucun exploit n’a été utilisé et les ingénieurs d’Anza, de Firedancer et de Jito ont rapidement commencé à évaluer la vulnérabilité. L’analyse a confirmé la possibilité de créer des preuves invalides que le système prenait pour des preuves valides.

Le 17 avril à 18h00 UTC, les équipes de la Fondation Solana et de Jito ont commencé à contacter directement les opérateurs de validateurs pour distribuer un correctif soigneusement élaboré. Cependant, dans la soirée du même jour, vers 23h00 UTC, une deuxième vulnérabilité a été découverte dans une section connexe de la base de code, qui a nécessité un correctif supplémentaire. Les deux correctifs ont été minutieusement testés par des entreprises de sécurité de premier plan telles qu’Asymmetric Research, Neodyme et OtterSec, qui ont confirmé leur fiabilité. À 20h00 UTC le 18 avril, la grande majorité du réseau avait appliqué les correctifs, et à 21h01 UTC la solution a été annoncée publiquement via Discord. Le cluster Solana est désormais opérationnel avec des versions entièrement corrigées, notamment Agave (v2.1.21 et plus, v2.2.11 et plus), Jito-Solana (v2.1.21-jito et plus, v2.2.11-jito et plus) et Firedancer (v0.411.20121 et plus).