📌 Solana corregge un bug che potenzialmente consentiva agli aggressori di estrarre e prelevare gettoni.
-Gli ingegneri di Solana hanno corretto un bug che riguardava i gettoni riservati Token-22.
Grazie a questo bug, un utente malintenzionato poteva stampare un numero infinito di token e prelevarli dai conti.
Il bug è stato risolto di nascosto prima di essere annunciato pubblicamente, scatenando discussioni sui social media.
I validatori di Solana hanno evitato per un pelo il disastro rilasciando una patch che ha risolto un bug nel software che avrebbe potuto consentire agli aggressori di stampare quantità illimitate di determinati gettoni – o di prelevarli da qualsiasi account.
Una vulnerabilità che potrebbe colpire solo i token riservati Token-22 è stata riscontrata in ZK ElGamal Proof, un programma che autentica i saldi delle criptovalute e verifica l’accuratezza delle prove a conoscenza zero.
el programma ZK ElGamal Proof sulla blockchain, alcuni componenti algebrici non erano inclusi nell’hash utilizzato per generare la decrittazione della trasformazione Fiat-Shamir, ha dichiarato la Fondazione Solana in un rapporto di autopsia. Un aggressore sofisticato potrebbe utilizzare questi componenti non hash per creare una prova falsa di un’azione non autorizzata che supererebbe l’ispezione.
In altre parole, un aggressore potrebbe usare la prova falsa per estrarre un numero infinito di token riservati Token-22 o prelevarli dai conti.
La potenziale vulnerabilità è stata segnalata per la prima volta al Github Security Advisory di Anza il 16 aprile e il giorno successivo, dopo che la vulnerabilità è stata valutata e confermata dagli ingegneri di Anza, Firedancer e Jito, è stata pubblicata una patch direttamente per i validatori.
Anza è una società di sviluppo di Solana composta da ex dipendenti dei Solana Labs, mentre Jito è un’azienda di infrastrutture ben nota nell’ecosistema. Firedancer è un client di validazione Solana in fase di sviluppo da parte di Jump Crypto.
Asymmetric Research, Neodyme e OtterSec sono stati coinvolti per supportare e convalidare la patch.
A mezzogiorno del 18 aprile, la stragrande maggioranza degli operatori dei validatori aveva accettato la patch, che includeva una seconda patch utilizzata per risolvere un problema simile in una parte diversa del codice di base. Nessuna risorsa è a rischio dopo l’installazione della patch e non è stato rilevato alcuno sfruttamento della vulnerabilità.
La società di investimento canadese SOL Strategies ha raccolto un’obbligazione convertibile da 500 milioni di dollari per acquistare Solana, ha dichiarato mercoledì la società, riflettendo il crescente interesse per la criptovaluta che è stata popolare tra gli sviluppatori di meme-coin e altri utenti che ne apprezzano la velocità rispetto ai rivali. La società, che è quotata alla Canadian Securities Exchange con il codice HODL, ha definito l’accordo con la società di investimento ATW Partners di New York il più grande e il primo del suo genere nell’ecosistema Solana. {È…
onostante la patch sia stata prontamente installata e non si sa se siano stati utilizzati fondi, la Fondazione Solana ha dovuto affrontare critiche sui social media. Alcuni utenti hanno attirato l’attenzione sull’aggiornamento dietro le quinte due settimane prima che la fondazione lo affrontasse pubblicamente tramite un postmortem.
Ho capito bene? La mainnet Solana ha avuto un giorno zero e >70% dei validatori ha colluso privatamente per aggiornare e correggere un bug critico prima ancora che fosse reso pubblico, ha scritto un anonimo sviluppatore dell’ecosistema Ethereum su X (ex Twitter).
Bitcoin 
Ethereum 
XRP 
Tether 
BNB