📌 Solana быстро закрывает критическую брешь в ZK ElGamal, не допуская утраты активов.

552025 В программе доказательств ZK ElGamal для блокчейна Solana, являющейся основой безопасной обработки конфиденциальных переводов Token-2022, обнаружен критический изъян. Благодаря слаженным усилиям инженеров и специалистов по безопасности его удалось оперативно устранить, предотвратив компрометацию средств. Jito

– 552025 В программе доказательств ZK ElGamal для блокчейна Solana, являющейся основой безопасной обработки конфиденциальных переводов Token-2022, обнаружен критический изъян. Благодаря слаженным усилиям инженеров и специалистов по безопасности его удалось оперативно устранить, предотвратив компрометацию средств. 16 апреля 2025 года бдительный исследователь сообщил о уязвимости в Anza Github Security Advisory, приложив доказательство концепции. Недостаток, связанный с программой ZK ElGamal Proof, позволял злоумышленнику генерировать поддельные доказательства, что могло привести к несанкционированным действиям, таким как майнинг неограниченного числа токенов или хищение средств со счетов с конфиденциальными токенами Token-2022.

Проблема крылась в ошибке реализации преобразования Фиата-Шамира, используемого для генерации неинтерактивных доказательств с нулевым разглашением. В ключевой хэш-функции отсутствовали определенные алгебраические компоненты, что нарушало целостность проверки доказательств. К счастью, эксплойты не применялись, а инженеры из Anza, Firedancer и Jito оперативно приступили к оценке уязвимости. Анализ подтвердил возможность создания недействительных доказательств, которые система ошибочно принимала за валидные.

17 апреля в 18:00 UTC команды Solana Foundation и Jito начали напрямую связываться с операторами валидаторов для распространения тщательно разработанного патча. Однако вечером того же дня, около 23:00 UTC, была обнаружена вторая уязвимость в смежном разделе кодовой базы, потребовавшая дополнительного исправления. Оба исправления прошли тщательную проверку у ведущих компаний по безопасности, таких как Asymmetric Research, Neodyme и OtterSec, подтвердивших их надежность. К 20:00 UTC 18 апреля подавляющее большинство участников сети применили исправления, а в 21:01 UTC о решении было публично объявлено через Discord. Кластер Solana теперь функционирует с полностью исправленными версиями, включая Agave (v2.1.21 и выше, v2.2.11 и выше), Jito-Solana (v2.1.21-jito и выше, v2.2.11-jito и выше) и Firedancer (v0.411.20121 и выше).