Eine bisher unbekannte Sicherheitsanfälligkeit im von Solana in Privatsphäre fokussierten Token-System hätte es den Angreifern ermöglichen können, gefälschte Zero-Knowledge-Beweise zu fälschen

Die Solana Foundation hat eine bisher unbekannte Sicherheitsanfälligkeit in ihrem von Privatsphäre ausgerichteten Token-System bekannt gegeben, das es den Angreifern ermöglicht haben könnte

Solana (SOL) Foundation engineers have disclosed a previously undocumented vulnerability in its privacy-focused token system that could have been exploited by attackers to forge fake zero-knowledge proofs (ZKPs), potentially enabling unauthorized minting or withdrawals of tokens.

Die Ingenieure der Solana (SOL) -Fundierung haben eine bisher nicht dokumentierte Sicherheitsanfälligkeit in seinem mit Privatsphäre fokussierten Token-System offengelegt, das von Angreifern ausgenutzt werden könnte, um gefälschte Null-Wissen-Beweise (ZKPS) zu schmieden, was möglicherweise nicht autorisierte Abzüge oder Abzüge von Token ermöglicht.

The vulnerability, first reported on April 16 through Anza’s GitHub security advisory and accompanied by a working proof-of-concept, was discovered by engineers from Solana development teams Anza, Firedancer, and Jito, who began working on a fix immediately, according to a post-mortem published Saturday.

Die Sicherheitsanfälligkeit, die am 16. April erstmals über den Github Security Advisory von Anza berichtet wurde und von einem funktionierenden Proof-of-Concept begleitet wurde, wurde von Ingenieuren aus Solana-Entwicklungsteams ANZA, Firedancer und Jito entdeckt, der laut einem am Samstag veröffentlichten Post-Mortem sofort an einem Fix arbeitete.

The issue stemmed from the ZK ElGamAL Proof program, which verifies ZKPs used in Solana’s Token-22 confidential transfers. These extension tokens enable private balances and transfers by encrypting amounts and using cryptographic proofs to validate them.

Das Problem stammte aus dem ZK Elgamal Proof-Programm, das ZKPS überprüft, das in Solanas token-22-vertraulichen Transfers verwendet wird. Diese Verlängertypen ermöglichen private Guthaben und Transfers, indem sie Mengen verschlüsseln und kryptografische Beweise verwenden, um sie zu validieren.

ZKPs are a cryptographic method that lets someone prove they know or have access to something, such as a password or age, without revealing the thing itself. In crypto applications, they can be used to prove a transaction is valid without showing specific amounts or addresses, which can otherwise be used by malicious actors to plan exploits.

ZKPS ist eine kryptografische Methode, mit der jemand nachweisen kann, dass er etwas weiß oder auf etwas zugreifen kann, z. B. ein Passwort oder Alter, ohne das Ding selbst zu enthüllen. In Kryptoanwendungen können sie verwendet werden, um zu beweisen, dass eine Transaktion gültig ist, ohne bestimmte Beträge oder Adressen anzuzeigen, die ansonsten von böswilligen Akteuren zur Planung von Exploits verwendet werden können.

The bug occurred because some algebraic components were missing from the hashing process during the Fiat-Shamir transformation—a standard method to make zero-knowledge proofs non-interactive. Non-interactive in this case refers to turning a back-and-forth process into a one-time proof anyone can verify.

Der Fehler trat auf, weil einige algebraische Komponenten während der Fiat-Shamir-Transformation im Hashing-Prozess fehlten-eine Standardmethode, um Null-Wissen-Beweise nicht-interaktiv zu machen. Nicht interaktiv bezieht sich in diesem Fall darauf, einen Hin- und Her-Prozess in einen einmaligen Beweis zu verwandeln, den jeder überprüfen kann.

A sophisticated attacker could forge invalid proofs that the on-chain verifier would still accept. This would have allowed actions such as minting unlimited tokens or withdrawing tokens from other accounts.

Ein ausgefeilter Angreifer könnte ungültige Beweise erstellen, die der On-Chain-Verifizierer noch akzeptieren würde. Dies hätte Handlungen wie unbegrenzte Tokens oder das Abheben von Token aus anderen Konten zugelassen.

The vulnerability did not affect standard SPL tokens or the main Token-2022 program logic. Patches were distributed privately to validator operators beginning April 17, and a second patch was pushed later that evening to address a related issue elsewhere in the codebase. Both were reviewed by third-party security firms Asymmetric Research, Neodyme, and OtterSec. By April 18, a supermajority of validators had adopted the fix.

Die Sicherheitsanfälligkeit hatte keine Standard-SPL-Token oder die Haupttoken-2022-Programmlogik. Die Patches wurden ab dem 17. April privat an Validator -Betreiber verteilt, und ein zweiter Patch wurde später am Abend gedrückt, um ein entsprechendes Problem an anderer Stelle in der Codebasis anzugehen. Beide wurden von Asymmetrenforschung, Neodyme und Ottersec von Drittanbietern überprüft. Bis zum 18. April hatte eine Supermajority von Validatoren die Lösung übernommen.

There is no indication that the bug was exploited, and all funds remain secure, according to the post-mortem.

Es gibt keinen Hinweis darauf, dass der Fehler ausgenutzt wurde und alle Mittel laut dem Post-Mortem sicher bleiben.