Compass Investments

– 552025 Güvenli Token-2022 hassas transfer işleminin bel kemiği olan Solana blok zinciri için ZK ElGamal’ın kavram kanıtlama programında kritik bir kusur keşfedildi. Mühendislerin ve güvenlik uzmanlarının ortak çabaları sayesinde, derhal düzeltildi ve fonların tehlikeye atılması önlendi.

16 Nisan 2025 tarihinde, uyanık bir araştırmacı güvenlik açığını Anza Github Güvenlik Danışmanlığı’na bildirmiş ve bir kavram kanıtı eklemiştir. ZK ElGamal Proof programı ile ilgili kusur, bir saldırganın sahte kanıtlar oluşturmasına izin verdi; bu, sınırsız sayıda token madenciliği yapmak veya gizli Token-2022 tokenleri olan hesaplardan para çalmak gibi yetkisiz faaliyetlere yol açabilir.

Sorun, etkileşimli olmayan sıfır ifşa kanıtları oluşturmak için kullanılan Fiat-Shamir dönüşümündeki bir uygulama hatasından kaynaklanıyordu. Anahtar hash fonksiyonunda bazı cebirsel bileşenler eksikti ve bu da ispat kontrolünün bütünlüğünü tehlikeye atıyordu. Neyse ki hiçbir açık kullanılmadı ve Anza, Firedancer ve Jito’dan mühendisler hızla güvenlik açığını değerlendirmeye başladı. Analiz, sistemin geçerli kanıtlarla karıştırdığı geçersiz kanıtlar oluşturma olasılığını doğruladı.

17 Nisan saat 18:00 UTC’de Solana Vakfı ve Jito ekipleri, dikkatle hazırlanmış bir yama dağıtmak için doğrulayıcı operatörlerle doğrudan iletişime geçmeye başladı. Ancak, aynı günün akşamı, saat 23:00 UTC civarında, kod tabanının ilgili bir bölümünde ek bir yama gerektiren ikinci bir güvenlik açığı keşfedildi. Her iki yama da Asymmetric Research, Neodyme ve OtterSec gibi önde gelen güvenlik şirketleri tarafından kapsamlı bir şekilde test edilmiş ve güvenilirlikleri teyit edilmiştir. 18 Nisan saat 20:00 UTC’ye kadar ağın büyük çoğunluğu düzeltmeleri uygulamış ve 21:01 UTC’de çözüm Discord aracılığıyla kamuoyuna duyurulmuştur. Solana kümesi artık Agave (v2.1.21 ve üzeri, v2.2.11 ve üzeri), Jito-Solana (v2.1.21-jito ve üzeri, v2.2.11-jito ve üzeri) ve Firedancer (v0.411.20121 ve üzeri) dahil olmak üzere tamamen yamalanmış sürümlerle çalışmaktadır.