Solana dengan cepat menutup kelemahan kritis di ZK ElGamal

📌 Solana dengan cepat menutup kelemahan kritis di ZK ElGamal, mencegah hilangnya aset.

552025 Kelemahan kritis ditemukan dalam program proof-of-concept ZK ElGamal untuk blockchain Solana, yang merupakan tulang punggung pemrosesan transfer sensitif Token-2022 yang aman. Berkat upaya bersama para insinyur dan spesialis keamanan, masalah ini segera diperbaiki, sehingga mencegah dana dikompromikan. Jito

– 552025 Kelemahan kritis ditemukan dalam program proof-of-concept ZK ElGamal untuk blockchain Solana, yang merupakan tulang punggung pemrosesan transfer sensitif Token-2022 yang aman. Berkat upaya bersama para insinyur dan spesialis keamanan, masalah ini segera diperbaiki, sehingga mencegah dana dikompromikan.

Pada tanggal 16 April 2025, seorang peneliti yang waspada melaporkan kerentanan tersebut kepada Anza Github Security Advisory, dengan melampirkan bukti konsep. Cacat tersebut, terkait dengan program ZK ElGamal Proof, memungkinkan penyerang untuk menghasilkan bukti palsu, yang dapat menyebabkan aktivitas tidak sah seperti menambang token dalam jumlah yang tidak terbatas atau mencuri dana dari akun dengan token Token-2022 yang bersifat rahasia.

Masalahnya terletak pada kesalahan implementasi dalam transformasi Fiat-Shamir yang digunakan untuk menghasilkan bukti pengungkapan nol yang tidak interaktif. Fungsi hash kunci tidak memiliki komponen aljabar tertentu, yang membahayakan integritas pemeriksaan bukti. Untungnya, tidak ada eksploitasi yang digunakan, dan para insinyur dari Anza, Firedancer, dan Jito dengan cepat mulai menilai kerentanannya. Analisis mengkonfirmasi kemungkinan membuat bukti yang tidak valid yang disalahartikan oleh sistem sebagai bukti yang valid.

Pada tanggal 17 April pukul 18:00 UTC, tim Solana Foundation dan Jito mulai menghubungi operator validator secara langsung untuk mendistribusikan patch yang dibuat dengan hati-hati. Namun, pada malam hari di hari yang sama, sekitar pukul 23:00 UTC, kerentanan kedua ditemukan di bagian terkait dari basis kode yang membutuhkan tambalan tambahan. Kedua patch tersebut telah diuji secara menyeluruh oleh perusahaan keamanan terkemuka seperti Asymmetric Research, Neodyme, dan OtterSec, yang mengonfirmasi keandalannya. Pada pukul 20:00 UTC tanggal 18 April, sebagian besar jaringan telah menerapkan perbaikan, dan pada pukul 21:01 UTC, solusinya diumumkan secara publik melalui Discord. Cluster Solana sekarang beroperasi dengan versi yang telah ditambal sepenuhnya, termasuk Agave (v2.1.21 ke atas, v2.2.11 ke atas), Jito-Solana (v2.1.21-jito ke atas, v2.2.11-jito ke atas), dan Firedancer (v0.411.20121 ke atas).