Die Solana Foundation behebt einen "Zero-Day" -Fehler, der Angreifern unbegrenzte Token-Münztelemente gab

Die Solana Foundation bestätigte, einen "Zero-Day" -Fehler zu beheben, der Angreifern unbegrenzte Token-Münzfunktionen und die Möglichkeit gab, Token aus Benutzerkonten abzuheben.

Solana Foundation has confirmed fixing a “zero-day” bug that gave attackers unlimited token minting capabilities and the ability to withdraw tokens from user accounts. The issue, discovered on April 16, was resolved within two days after validators rapidly deployed two critical patches across the network.

Die Solana Foundation hat bestätigt, einen "Zero-Day" -Fehler zu beheben, der Angreifern unbegrenzte Token-Münzveranstaltungen und die Möglichkeit gab, Token aus Benutzerkonten abzuheben. Das am 16. April festgestellte Problem wurde innerhalb von zwei Tagen nach der raschen Bereitstellung von zwei kritischen Patches im Netzwerk gelöst.

According to the Foundation’s May 3 post-mortem report, the bug affected the ZK ElGamal Proof program, which is used to validate zero-knowledge proofs linked to confidential transfers in Token-2022, now called Token-22. The flaw emerged from missing alegbraic components in the Fiat-Shamir Transformation, which is used for cryptographic randomness, making it possible to craft forged proofs.

Laut dem Nachmortem-Bericht der Stiftung hat der Fehler das Zk Elgamal Proof-Programm beeinflusst, mit dem Null-Wissen-Proofs, die mit vertraulichen Transfers in Token-2022 verbunden sind, zur Validierung von nun Token-22 validiert werden. Der Fehler stammte aus fehlenden alegbraischen Komponenten in der Fiat-Shamir-Transformation, die für die kryptografische Zufälligkeit verwendet wird, wodurch es möglich ist, geschmiedete Beweise zu erstellen.

Despite the seriousness of the vulnerability, Solana Foundation said that there were no known exploits or loss of funds. The patches were implemented by a group of development teams, including Anza, Firedancer, and Jito, with support from security researchers at OtterSec, Asymmetric Research, and Neodyme.

Trotz der Ernsthaftigkeit der Verwundbarkeit sagte die Solana Foundation, dass es keine bekannten Fonds oder Verlust von Geldern gab. Die Patches wurden von einer Gruppe von Entwicklungsteams implementiert, darunter ANZA, Firedancer und Jito, mit Unterstützung von Sicherheitsforschern bei Ottersec, asymmetrischer Forschung und Neodyme.

Solana Validators Privately Coordinated to Deploy Fix

Solana -Validatoren haben privat koordiniert, um Fix zu bereitstellen

Before disclosing the vulnerability, Solana Foundation contacted validators to coordinate the fixing process privately. Through this method, validators were able to deploy the solution quickly. However, this move sparked renewed concerns about decentralization and transparency.

Vor der Offenlegung der Verwundbarkeit kontaktierte die Solana Foundation Validatoren, um den Fixierungsprozess privat zu koordinieren. Mit dieser Methode konnten Validatoren die Lösung schnell bereitstellen. Dieser Schritt löste jedoch erneut besorgte Bedenken hinsichtlich der Dezentralisierung und Transparenz aus.

Solana co-founder Anatoly Yakovenko responded to the criticism on X, saying that similar coordination happens on Ethereum too. According to him, major Ethereum validators, including Binance, Coinbase, Kraken, and Lido, could quickly agree to implement urgent security patches whenever needed.

Solana-Mitbegründerin Anatoly Yakovenko reagierte auf die Kritik an X und sagte, dass auch ähnliche Koordination auf Ethereum stattfindet. Ihm zufolge könnten große Ethereum -Validatoren, einschließlich Binance, Coinbase, Kraken und Lido, schnell zustimmen, dringende Sicherheitspatches bei Bedarf zu implementieren.

“Bro, it’s the same people to get to 70% on ethereum. All the lido validators (chorus one, p2p, etc..) binance, coinbase, and kraken. If geth needs to push a patch, I’ll be happy to coordinate for them.”

"Bro, es sind die gleichen Leute, um 70% für Ethereum zu erreichen. Alle Lido -Validatoren (Chorus eins, P2P usw.) Binance, Coinbase und Kraken. Wenn Geth einen Patch schieben muss, werde ich gerne für sie koordinieren."

However, critics questioned how the Solana Foundation contacted all validators in the network. Moreover, users expressed concerns about censorship or rollback through off-chain coordination, referencing prior similar responses to undisclosed bugs.

Kritiker fragten jedoch, wie die Solana Foundation alle Validatoren im Netzwerk kontaktierte. Darüber hinaus äußerten Benutzer Bedenken hinsichtlich Zensur oder Rollback durch die Koordination außerhalb des Kettens, was auf frühere ähnliche Antworten auf unbekannte Fehler hinwies.

Confidential Transfer Feature Had Limited Adoption

Die vertrauliche Übertragungsfunktion hatte eine begrenzte Akzeptanz

Technically, the identified vulnerability posed a threat to token forgery and theft, but its practical impact remained limited. The affected feature, known as confidential transfer, was minimally implemented throughout the network by third parties.

Technisch gesehen stellte die identifizierte Sicherheitsanfälligkeit eine Bedrohung für die Fälschung und den Diebstahl von Token dar, aber ihre praktischen Auswirkungen blieben begrenzt. Das betroffene Merkmal, das als vertrauliche Übertragung bezeichnet wird, wurde im gesamten Netzwerk von Dritten minimal implementiert.

Despite speculations about its involvement, Paxos said that it’s not operating the confidential transfer system. A spokesperson stated that the service is currently not live on any Paxos-issued stablecoins.

Trotz Spekulationen über die Beteiligung sagte Paxos, dass es das vertrauliche Übertragungssystem nicht betreibt. Ein Sprecher gab an, dass der Dienst derzeit nicht in von Paxos ausgestellten Stablecoins lebt.

Related: How Browser Wallet Permissions Were Exploited in the Latest LinkedIn Job Offer Scam

Verwandte: Wie Browser -Brieftaschenberechtigungen im neuesten LinkedIn -Beschäftigungsangebot ausgenutzt wurden

Meanwhile, Ethereum community member Ryan Berckmans argued that Solana remains vulnerable due to its reliance on a single production-ready client, Agave. In contrast, he highlighted Ethereum’s client diversity, with the leading client, Geth, holding 41% market share, fostering protocol resilience.

In der Zwischenzeit argumentierte das Ethereum-Community-Mitglied Ryan Berckmans, dass Solana aufgrund seiner Abhängigkeit von einem einzigen produktionsbereiten Kunden, Agave, anfällig ist. Im Gegensatz dazu hob er die Kundenvielfalt von Ethereum hervor, wobei der führende Kunde Geth, der 41% Marktanteil hielt und die Resilienz der Protokoll förderte.

Solana plans to launch its new network client, Firedancer, in the upcoming months to solve this problem. According to the Foundation, coordinated emergency patches are a requirement for network security and do not indicate centralization.

Solana plant, in den kommenden Monaten seinen neuen Network -Client Firedancer zu starten, um dieses Problem zu lösen. Laut der Stiftung sind koordinierte Notfallpatches eine Voraussetzung für die Netzwerksicherheit und geben keine Zentralisierung an.