Solana rapidamente fecha uma falha crítica no ZK ElGamal

📌 Solana rapidamente fecha uma falha crítica no ZK ElGamal, evitando a perda de ativos.

552025 Uma falha crítica foi descoberta no programa de prova de conceito do ZK ElGamal para o blockchain Solana, que é a espinha dorsal do processamento seguro de transferências sensíveis do Token-2022. Graças aos esforços concertados de engenheiros e especialistas em segurança, a falha foi prontamente corrigida, evitando que os fundos fossem comprometidos. Uma

– 552025 Uma falha crítica foi descoberta no programa de prova de conceito do ZK ElGamal para o blockchain Solana, que é a espinha dorsal do processamento seguro de transferências sensíveis do Token-2022. Graças aos esforços concertados de engenheiros e especialistas em segurança, a falha foi prontamente corrigida, evitando que os fundos fossem comprometidos.

Em 16 de abril de 2025, um investigador atento comunicou a vulnerabilidade ao Anza Github Security Advisory, anexando uma prova de conceito. A falha, relacionada ao programa ZK ElGamal Proof, permitia que um invasor gerasse provas falsas, o que poderia levar a atividades não autorizadas, como minerar um número ilimitado de tokens ou roubar fundos de contas com tokens confidenciais do Token-2022.

O problema residia num erro de implementação na transformação Fiat-Shamir utilizada para gerar provas de divulgação zero não interactivas. A função hash chave não tinha certos componentes algébricos, comprometendo a integridade da verificação da prova. Felizmente, não foram utilizados exploits, e os engenheiros da Anza, da Firedancer e da Jito começaram rapidamente a avaliar a vulnerabilidade. A análise confirmou a possibilidade de criar provas inválidas que o sistema confundiu com provas válidas.

Em 17 de abril, às 18:00 UTC, as equipas da Fundação Solana e da Jito começaram a contactar diretamente os operadores de validadores para distribuir uma correção cuidadosamente elaborada. No entanto, na noite do mesmo dia, por volta das 23:00 UTC, foi descoberta uma segunda vulnerabilidade numa secção relacionada da base de código que exigia uma correção adicional. Ambas as correcções foram exaustivamente testadas pelas principais empresas de segurança, como a Asymmetric Research, a Neodyme e a OtterSec, que confirmaram a sua fiabilidade. Às 20:00 UTC de 18 de abril, a grande maioria da rede tinha aplicado as correcções e às 21:01 UTC a solução foi anunciada publicamente através do Discord. O cluster Solana está agora operacional com versões totalmente corrigidas, incluindo Agave (v2.1.21 e superior, v2.2.11 e superior), Jito-Solana (v2.1.21-jito e superior, v2.2.11-jito e superior) e Firedancer (v0.411.20121 e superior).