Команды Solana Foundation и Jito напрямую связывались с валидаторами для устранения выявленной уязвимости. Баг обнаружили специалисты Anza.
https://platform.twitter.com/embed/Tweet.html?dnt=false&embedId=twitter-widget-1&features=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%3D%3D&frame=false&hideCard=false&hideThread=false&id=1918942205370404958&lang=en&origin=https%3A%2F%2Fru.tradingview.com%2Fnews%2Fproviders%2Fforklog%2F&sessionId=39a3f16ff849cdb1d1ff0341255b986e99f2c72c&siteScreenName=TradingView&theme=light&widgetsVersion=2615f7e52b7e0%3A1702314776716&width=550px
Ошибка касалась программы доказательств ZK ElGamal и теоретически затрагивала конфиденциальные токены, выпущенные по программе Token-2022.
Баг заключался в том, что некоторые алгебраические компоненты не включались в хеш при преобразовании Фиата-Шамира. Опытный злоумышленник мог использовать уязвимость для создания фейковых доказательств. Это позволяло ему совершать несанкционированные действия, включая выпуск неограниченного количества монет и снятие их с любого счета.
Эксперты обнаружили ошибку 16 апреля и уже на следующий день начали распространять патч для ее устранения. Для решения аналогичной проблемы в другой области кодовой базы понадобилось второе исправление. Большинство операторов нод внесли необходимые изменения в ПО к вечеру 18 апреля.
«Поскольку ошибка ограничивалпсь решением ZK ElGamal Proof, для программы Token-2022 обновления не требовались. Все средства в безопасности, и нет известных эксплойтов потенциальной уязвимости», — уточнила команда Solana Foundation.
Один из комментаторов отметил, что исправление бага без огласки, просто по договоренности с более чем 70% валидаторов, указывает на возможность устроить на Solana «нулевой день».
https://platform.twitter.com/embed/Tweet.html?dnt=false&embedId=twitter-widget-2&features=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%3D%3D&frame=false&hideCard=false&hideThread=false&id=1919013298248560901&lang=en&origin=https%3A%2F%2Fru.tradingview.com%2Fnews%2Fproviders%2Fforklog%2F&sessionId=39a3f16ff849cdb1d1ff0341255b986e99f2c72c&siteScreenName=TradingView&theme=light&widgetsVersion=2615f7e52b7e0%3A1702314776716&width=550px
«Это те же люди, которые добиваются 70% [консенсуса] на Ethereum. Все валидаторы Lido, Binance, Coinbase и Kraken. Если Geth нужно выпустить патч, буду рад координировать их действия», — защитил действия команды сооснователь Solana Анатолий Яковенко.
В конце апреля стоящая за проектом организация анонсировала меры по повышению децентрализации сети.
Согласно Blockworks, в Solana насчитывается 1218 активных валидаторов. По данным Ethernodes, работу уровня исполнения Ethereum поддерживает 17 126 нод, операторы 11 025 из которых используют агент Geth. При этом в стейкинге заблокировано 28% от общей эмиссии ETH, у SOL показатель составляет 65%.
Напомним, специалисты Fidelity назвали Solana «серьезным конкурентом» Ethereum. Подобное мнение высказали и в JPMorgan.


