Compass Investments

– Solana 工程师修复了一个可能允许攻击者挖矿和提取代币的漏洞。

利用这个漏洞，攻击者可以打印无限数量的代币并从账户中提取。

这个漏洞在公开宣布之前就被秘密修复了，在社交媒体上引发了讨论。

Solana验证器发布了一个补丁，修复了软件中的一个漏洞，该漏洞可能允许攻击者打印无限量的特定代币，或者从任何账户中提取代币，从而险些避免了灾难。

在 ZK ElGamal Proof 中发现了一个只能影响机密 Token-22 代币的漏洞，该程序可以验证加密货币余额并验证零知识证明的准确性。

索拉纳基金会在一份验尸报告中说，在区块链上的 ZK ElGamal Proof 程序中，用于生成 Fiat-Shamir 转换解密的哈希值中没有包含一些代数成分。一个老练的攻击者可以利用这些未散列的成分来创建一个假的未经授权的行动证明，从而通过检查。

换句话说，攻击者可以使用伪造的证明来挖掘无限数量的 Token-22 令牌或从账户中提取令牌。

该潜在漏洞于 4 月 16 日首次报告给 Anza Github 安全咨询，第二天，在 Anza、Firedancer 和 Jito 工程师评估并确认该漏洞后，直接为验证者发布了补丁。

Anza 是一家由 Solana 实验室前员工组成的 Solana 开发公司，而 Jito 则是生态系统中一家知名的基础设施公司。Firedancer 是 Jump Crypto 正在开发的 Solana 验证器客户端。

Asymmetric Research、Neodyme 和 OtterSec 也参与了补丁的支持和验证工作。

到 4 月 18 日中午，绝大多数验证器操作员都接受了该补丁，其中包括用于修复代码库不同部分类似问题的第二个补丁。安装补丁后，没有资产面临风险，也没有发现利用该漏洞的情况。

加拿大投资公司 SOL Strategies 周三表示，该公司筹集了 5 亿美元的可转换债券来购买 Solana，这反映出人们对这种加密货币的兴趣越来越大，这种货币在备忘录币开发者和其他用户中很受欢迎，他们喜欢这种货币与竞争对手相比的速度。该公司在加拿大证券交易所的交易代码为HODL，该公司称与纽约投资公司ATW Partners达成的协议是Solana生态系统中最大的也是第一份此类协议。{“这是…

尽管补丁被迅速安装，而且没有资金被使用，但索拉纳基金会还是在社交媒体上遭到了批评。一些用户在基金会通过事后总结公开处理此事的两周前，就开始关注幕后更新。

我的理解对吗？Solana主网出现了零日，>70% 的验证者私下串通更新并修复了一个关键漏洞，而这个漏洞甚至还没有被公开，”一位匿名的以太坊生态系统开发者在X（以前的推特）上写道。