Une vulnérabilité auparavant inconnue dans le système de jetons axé sur la confidentialité de Solana aurait pu permettre aux attaquants de forger de fausses preuves de connaissances zéro

La Fondation Solana a révélé une vulnérabilité auparavant inconnue dans son système de jeton axé sur la confidentialité qui aurait pu permettre aux attaquants de forger de fausses preuves de connaissances zéro

Solana (SOL) Foundation engineers have disclosed a previously undocumented vulnerability in its privacy-focused token system that could have been exploited by attackers to forge fake zero-knowledge proofs (ZKPs), potentially enabling unauthorized minting or withdrawals of tokens.

Les ingénieurs de la Fondation Solana (Sol) ont révélé une vulnérabilité auparavant sans papiers dans son système de jeton axé sur la confidentialité qui aurait pu être exploité par les attaquants pour forger de fausses preuves de connaissances zéro (ZKPS), permettant potentiellement de la frappe ou des retraits non autorisés de tokens.

The vulnerability, first reported on April 16 through Anza’s GitHub security advisory and accompanied by a working proof-of-concept, was discovered by engineers from Solana development teams Anza, Firedancer, and Jito, who began working on a fix immediately, according to a post-mortem published Saturday.

La vulnérabilité, rapportée pour la première fois le 16 avril par le biais d'un avis de sécurité GitHub d'ANZA et accompagnée d'une preuve de concept de travail, a été découverte par des ingénieurs des équipes de développement de Solana, Anza, Firedancer, et Jito, qui a commencé à travailler immédiatement sur un correctif, selon un post-mortem publié samedi.

The issue stemmed from the ZK ElGamAL Proof program, which verifies ZKPs used in Solana’s Token-22 confidential transfers. These extension tokens enable private balances and transfers by encrypting amounts and using cryptographic proofs to validate them.

Le problème provenait du programme ZK Elgamal Proof, qui vérifie les ZKP utilisés dans les transferts confidentiels de Token-22 de Solana. Ces jetons d'extension permettent des soldes et des transferts privés en chiffrant les quantités et en utilisant des preuves cryptographiques pour les valider.

ZKPs are a cryptographic method that lets someone prove they know or have access to something, such as a password or age, without revealing the thing itself. In crypto applications, they can be used to prove a transaction is valid without showing specific amounts or addresses, which can otherwise be used by malicious actors to plan exploits.

Les ZKP sont une méthode cryptographique qui permet à quelqu'un de prouver qu'il connaît ou a accès à quelque chose, comme un mot de passe ou un âge, sans révéler la chose elle-même. Dans les applications cryptographiques, ils peuvent être utilisés pour prouver qu'une transaction est valide sans afficher des montants ou des adresses spécifiques, qui peuvent autrement être utilisés par des acteurs malveillants pour planifier des exploits.

The bug occurred because some algebraic components were missing from the hashing process during the Fiat-Shamir transformation—a standard method to make zero-knowledge proofs non-interactive. Non-interactive in this case refers to turning a back-and-forth process into a one-time proof anyone can verify.

Le bogue s'est produit parce que certains composants algébriques manquaient dans le processus de hachage pendant la transformation Fiat-Shamir - une méthode standard pour rendre les preuves de connaissance zéro non interactives. Non-interactif dans ce cas fait référence à la transformation d'un processus de va-et-vient en une preuve unique que quiconque peut vérifier.

A sophisticated attacker could forge invalid proofs that the on-chain verifier would still accept. This would have allowed actions such as minting unlimited tokens or withdrawing tokens from other accounts.

Un attaquant sophistiqué pourrait forger des preuves invalides que le vérificateur en chaîne accepterait toujours. Cela aurait permis des actions telles que la réduction des jetons illimités ou le retrait des jetons d'autres comptes.

The vulnerability did not affect standard SPL tokens or the main Token-2022 program logic. Patches were distributed privately to validator operators beginning April 17, and a second patch was pushed later that evening to address a related issue elsewhere in the codebase. Both were reviewed by third-party security firms Asymmetric Research, Neodyme, and OtterSec. By April 18, a supermajority of validators had adopted the fix.

La vulnérabilité n'a pas affecté les jetons SPL standard ou la logique du programme Token-2022 principale. Les correctifs ont été distribués en privé aux opérateurs de validateurs à partir du 17 avril, et un deuxième correctif a été poussé plus tard dans la soirée pour résoudre un problème connexe ailleurs dans la base de code. Les deux ont été examinés par des sociétés de sécurité tierces Asymétric Research, Neodyme et Ottersec. Le 18 avril, une supermajorité de validateurs avait adopté le correctif.

There is no indication that the bug was exploited, and all funds remain secure, according to the post-mortem.

Rien n'indique que le bogue a été exploité et que tous les fonds restent sécurisés, selon le post-mortem.