📌 Solana устраняет баг, потенциально дававший возможность злоумышленникам майнить и подбирать токены.
– Инженеры Solana устранили ошибку, влиявшую на конфиденциальные токены Token-22.
При использовании ошибки злоумышленник мог печатать бесконечное количество токенов и выводить их со счетов.
Ошибка была исправлена скрытно, до публичного объявления, что вызвало обсуждения в социальных сетях.
Валидаторы сети Solana чуть избежали катастрофы, выпустив патч, устраняющий ошибку в программе, которая могла позволить злоумышленникам печатать определенные токены в неограниченном количестве – или выводить их с любого счета.
Уязвимость, которая могла затронуть только конфиденциальные токены Token-22, была найдена в программе ZK ElGamal Proof, удостоверяющей криптовалютные балансы и проверяющей точность доказательств с нулевым знанием.
В программе ZK ElGamal Proof на блокчейне некоторые алгебраические компоненты не были включены в хэш, используемый для генерации расшифровки преобразования Фиата-Шамира, – говорится в отчете о вскрытии, подготовленном Solana Foundation. Сложный злоумышленник может использовать эти не захэшированные компоненты для создания поддельного доказательства несанкционированного действия, которое пройдет проверку.
Другими словами, злоумышленник мог использовать поддельное доказательство для майнинга бесконечного количества конфиденциальных токенов Token-22 или вывода их со счетов.
Впервые о потенциальной уязвимости было сообщено в Anza Github Security Advisory 16 апреля, а на следующий день после оценки и подтверждения уязвимости инженерами Anza, Firedancer и Jito было выложено исправление непосредственно для валидаторов.
Anza – это компания-разработчик Solana, состоящая из бывших сотрудников Solana Labs, а Jito – известная инфраструктурная фирма в экосистеме. Firedancer – клиент валидатора Solana, находящийся в разработке у компании Jump Crypto.
Компании Asymmetric Research, Neodyme и OtterSec также были привлечены для поддержки и проверки патча.
К полудню 18 апреля подавляющее большинство операторов валидаторов приняли исправление, которое включало второй патч, использованный для устранения аналогичной проблемы в другой части кодовой базы. После установки исправления никакие средства не подвергаются риску, и никаких известных случаев эксплуатации уязвимости не обнаружено.
Канадская инвестиционная компания SOL Strategies привлекла конвертируемую облигацию на сумму $500 млн для покупки Solana, сообщила компания в среду, что отражает растущий интерес к криптовалюте, которая была популярна среди разработчиков мем-коинов и других пользователей, которым нравится ее скорость по сравнению с конкурентами. Компания, торгующаяся на Канадской бирже ценных бумаг под тикером HODL, назвала соглашение с нью-йоркской инвестиционной фирмой ATW Partners крупнейшим и первым в своем роде в экосистеме Solana. “Это…
Несмотря на то, что патч был оперативно установлен и ни один фонд, как известно, не был использован, Solana Foundation столкнулась с критикой в социальных сетях. Некоторые пользователи обратили внимание на закулисное обновление, которое было проведено за две недели до того, как фонд публично обратился к нему через постмортем.
“Я правильно понимаю? В мейннете Solana был нулевой день, и >70% валидаторов вступили в частный сговор, чтобы обновить и исправить критическую ошибку еще до того, как она была обнародована “, – написал один анонимный разработчик экосистемы Ethereum на сайте X (бывший Twitter)
Bitcoin 
Ethereum 
Tether 
XRP 
BNB 
Solana 
USDC 
Dogecoin 
Cardano 
TRON