Фонд Солана підтвердив, що вразливість нульової дня, яка дозволила зловмиснику потенційно м’ята певних токенів і навіть зняти ці токени з облікових записів користувачів.
3 травня після смерті від Фонду Солани заявив, що вразливість безпеки, вперше виявлена 16 квітня, могла б дозволити зловмиснику створити недійсне доказ, що впливає на конфіденційність конфіденційності Солані, що сприяє конфіденційності “Токен-22”.
Немає відомого подвигу вразливості, і валідатори Solana з тих пір прийняли зафіксовану версію, повідомляє фонд.
Помилка безпеки Solana Захист вплинула на Token-22 Конфіденційні токени
Фонд Солана заявив, що вразливість безпеки стосувалася двох програм: Token-20122 та ZK Elgamal Prover.
Token-2012 обробляє основну логіку додатків для токенських монетних дворів та облікових записів, тоді як ZK Elgamal Prover перевіряє правильність доказів нульового знання, щоб показати точні залишки рахунків.
Фонд заявив, що певні алгебраїчні компоненти були опущені з хеша у генерації стенограми перетворення Фіат-Шамір, яка визначає, як проводки створюють публічну випадковість за допомогою криптографічної функції хешу.
Недолік міг би дати можливість зловмиснику використовувати безперебійні компоненти, створивши підроблене доказ, що передає перевірку на монетний двір та краде конфіденційні токени. Конфіденційні токени Token-22, або “токени розширення”, використовують докази нульового знання для приватних переказів та прагнуть забезпечити розширену функціональність токенів.
Вразливість вперше була ідентифікована 16 квітня, а для вирішення проблем було розгорнуто два патчі. Супер більшість валідаторів Солани прийняли патчі приблизно через два дні.
Фірми Solana Development Anza, Fireedancer та Jito були основними партіями, що стоять за пластиром безпеки, тоді як асиметричні дослідження, Neodyme та Ottersec також допомагали.
Фонд підтвердив, що всі кошти залишаються в безпеці.
Пов’язано: Bloomberg Intelligence збільшує схвалення Solana ETF до 90%
Незважаючи на виправлення, приватне поводження з цим питанням Солана з валідаторами Solana викликало занепокоєння централізації у деяких у спільноті криптовалют.
Сюди входив дописувач Curve Finance, який висловив занепокоєння щодо тісних стосунків Фонду з валідаторами Солани.
“Чому у когось є список усіх валідаторів та їх контактні дані? Про що ще вони говорять у цих каналах Comms”, – запитали вони, побоюючись, що вони можуть змогти потенційно цензурувати транзакції або відкочити ланцюг.
Генеральний директор Solana Labs Anatoly Yakovenko безпосередньо не заперечував претензій, але заявив, що члени спільноти Ethereum також можуть координувати для вирішення подібної помилки безпеки.
Більше 70% валідаторів мережі Ethereum також контролюються за допомогою обмінів криптовалют або операторів, таких як Лідо, заявив Яковенко, аргументуючи свою думку.
“Це ті самі люди, щоб досягти 70% на Ethereum. Усі валідатори LIDO (хор один, P2p тощо)) Binance, Coinbase та Kraken. Якщо Гет потрібно штовхати патч, я буду радий координувати їх”.
У серпні Фонд Солана та мережеві валідатори вирішили ще одну критичну вразливість за лаштунками. У той час виконавчий директор Фонду Ден Альберт заявив, що здатність координувати патч не означає, що Солана централізована.
Ethereum не потрапив би на одне і те ж питання, каже член громади
Член громади Ethereum Райан Беркманс забиває твердження, що Ethereum піддається тим же питанням централізації, що і Солана, вказуючи, що Ethereum має достатню різноманітність клієнтів.
Найпопулярніший клієнт Ethereum, Geth, має щонайменше 41% частки ринку в Ethereum, сказав Беркманс, зазначивши, що в Солані є лише один клієнт, готовий до виробництва, Agave.
“Це означає, що помилки нульового дня в одному клієнті SOL – це фактично помилки протоколу. Змініть програму єдиного клієнта, змініть сам протокол. Клієнт – це протокол.”
Тим часом Солана прагне розгорнути нового клієнта, Firedancer, в найближчі кілька місяців, який, як очікується, покращить стійкість та час роботи мережі.
Однак Беркманс заявив, що Солані потребує трьох клієнтів, щоб бути достатньо децентралізованими на рівні клієнта.
