Команды Solana Foundation и Jito напрямую связывались с валидаторами для устранения выявленной уязвимости. Баг обнаружили специалисты Anza.

Ошибка касалась программы доказательств ZK ElGamal и теоретически затрагивала конфиденциальные токены, выпущенные по программе Token-2022.

Баг заключался в том, что некоторые алгебраические компоненты не включались в хеш при преобразовании Фиата-Шамира. Опытный злоумышленник мог использовать уязвимость для создания фейковых доказательств. Это позволяло ему совершать несанкционированные действия, включая выпуск неограниченного количества монет и снятие их с любого счета.

Эксперты обнаружили ошибку 16 апреля и уже на следующий день начали распространять патч для ее устранения. Для решения аналогичной проблемы в другой области кодовой базы понадобилось второе исправление. Большинство операторов нод внесли необходимые изменения в ПО к вечеру 18 апреля.

«Поскольку ошибка ограничивалпсь решением ZK ElGamal Proof, для программы Token-2022 обновления не требовались. Все средства в безопасности, и нет известных эксплойтов потенциальной уязвимости», — уточнила команда Solana Foundation.

Один из комментаторов отметил, что исправление бага без огласки, просто по договоренности с более чем 70% валидаторов, указывает на возможность устроить на Solana «нулевой день».

«Это те же люди, которые добиваются 70% [консенсуса] на Ethereum. Все валидаторы Lido, Binance, Coinbase и Kraken. Если Geth нужно выпустить патч, буду рад координировать их действия», — защитил действия команды сооснователь Solana Анатолий Яковенко.

В конце апреля стоящая за проектом организация анонсировала меры по повышению децентрализации сети. 

Согласно Blockworks, в Solana насчитывается 1218 активных валидаторов. По данным Ethernodes, работу уровня исполнения Ethereum поддерживает 17 126 нод, операторы 11 025 из которых используют агент Geth. При этом в стейкинге заблокировано 28% от общей эмиссии ETH, у SOL показатель составляет 65%. 

Будь в курсе! Подписывайся на Телеграм.

СХОЖИЕ СТАТЬИБОЛЬШЕ ОТ АВТОРА