Compass Investments

このバグにより、攻撃者はトークンを無限に印刷し、アカウントから引き出すことができました。

バグが公に発表される前に秘密裏に修正されたため、ソーシャルメディア上で議論が巻き起こりました。

Solanaバリデーターは、攻撃者が特定のトークンを無制限に印刷したり、あらゆるアカウントから引き出したりできる可能性があったソフトウェアのバグを修正したパッチをリリースすることで、危うく災難を免れた。

暗号通貨の残高を認証し、ゼロ知識証明の正確性を検証するプログラムであるZK ElGamal Proofに、機密のToken-22トークンにのみ影響する脆弱性が発見されました。

ブロックチェーン上のZK ElGamal Proofプログラムにおいて、Fiat-Shamir変換の復号を生成するために使用されるハッシュに、いくつかの代数的構成要素が含まれていなかったと、ソラナ財団は検死報告書の中で述べている。巧妙な攻撃者はこれらのハッシュされていない構成要素を利用して、検査をパスするような不正行為の偽の証明を作成することができる。

つまり、攻撃者は偽の証明を使って、無限に秘密の Token-22 トークンを採掘したり、口座から引き出したりすることができるのです。

潜在的な脆弱性は4月16日にAnza Github Security Advisoryに最初に報告され、Anza、Firedancer、Jitoのエンジニアによって脆弱性が評価・確認された翌日、検証者向けに直接パッチが投稿されました。

Anzaは元Solana Labsの社員で構成されるSolana開発会社で、Jitoはエコシステムで有名なインフラ企業です。FiredancerはJump Cryptoが開発中のSolanaバリデータクライアントである。

を” “丿 “丿 “丿 “丿 “丿 “丿 “丿

「Asymmetric Research社、Neodyme社、OtterSec社もパッチのサポートと検証のために参加した。

4月18日の正午までに、大半の検証オペレータがパッチを受理した。このパッチには、 コードベースの別の部分で同様の問題を修正するために使用された2つ目のパッチも含まれていた。パッチがインストールされた後に危険にさらされた資産はなく、脆弱性の悪用は確認されていない。

カナダの投資会社SOLストラテジーズがソラナ買収のために5億ドルの転換社債を調達したと同社が水曜日に発表した。カナダ証券取引所でHODLというティッカー名で取引されている同社は、ニューヨークを拠点とする投資会社ATWパートナーズとの合意を、ソラナ・エコシステムにおける最大かつ初のものと呼んでいる。{それは…

パッチが速やかにインストールされ、資金が使われた事実はないにもかかわらず、ソラナ財団はソーシャルメディア上で批判にさらされている。一部のユーザーは、財団が事後報告を通じて公に対処する2週間前に、舞台裏のアップデートに注目した。

私の理解は正しいのか？Solanaメインネットにゼロデイがあり、70% 以上のバリデータが非公開で結託して、公表される前に重大なバグをアップデートして修正した」と、ある匿名のEthereumエコシステム開発者がX（旧Twitter）に書き込んだ。