Solana Foundation은 공격자에게 무제한 토큰 마이닝 기능을 제공하는 "제로 데이"버그를 수정합니다.

Solana Foundation은 공격자에게 무제한 토큰 마이닝 기능을 제공하고 사용자 계정에서 토큰을 인출 할 수있는 "제로 데이"버그 수정을 확인했습니다.

Solana Foundation has confirmed fixing a “zero-day” bug that gave attackers unlimited token minting capabilities and the ability to withdraw tokens from user accounts. The issue, discovered on April 16, was resolved within two days after validators rapidly deployed two critical patches across the network.

Solana Foundation은 공격자에게 무제한 토큰 마이닝 기능을 제공하고 사용자 계정에서 토큰을 인출 할 수있는 "제로 데이"버그 수정을 확인했습니다. 4 월 16 일에 발견 된이 문제는 유효성 검사기가 네트워크 전체에 두 개의 중요한 패치를 빠르게 배포 한 후 이틀 안에 해결되었습니다.

According to the Foundation’s May 3 post-mortem report, the bug affected the ZK ElGamal Proof program, which is used to validate zero-knowledge proofs linked to confidential transfers in Token-2022, now called Token-22. The flaw emerged from missing alegbraic components in the Fiat-Shamir Transformation, which is used for cryptographic randomness, making it possible to craft forged proofs.

재단의 5 월 3 일 사후 보고서에 따르면, 버그는 ZK Elgamal Proof 프로그램에 영향을 미쳤으며, 이는 Token-22라고 불리는 Token-2022의 기밀 전송과 연결된 제로 지식 증명을 검증하는 데 사용됩니다. 결함은 Fiat-Shamir 변환에서 Alegbraic 구성 요소가 누락되어 암호화 무작위성에 사용되어 위조 된 증거를 만들 수 있습니다.

Despite the seriousness of the vulnerability, Solana Foundation said that there were no known exploits or loss of funds. The patches were implemented by a group of development teams, including Anza, Firedancer, and Jito, with support from security researchers at OtterSec, Asymmetric Research, and Neodyme.

Solana Foundation은 취약성의 심각성에도 불구하고 알려진 착취 나 자금 손실은 없다고 말했다. 이 패치는 Ottersec, Asymmetric Research 및 Neodyme의 보안 연구원들의 지원을 받아 Anza, Firedancer 및 Jito를 포함한 개발 팀 그룹에 의해 구현되었습니다.

Solana Validators Privately Coordinated to Deploy Fix

Solana Validators는 개인적으로 조정하여 Fix를 배포했습니다

Before disclosing the vulnerability, Solana Foundation contacted validators to coordinate the fixing process privately. Through this method, validators were able to deploy the solution quickly. However, this move sparked renewed concerns about decentralization and transparency.

취약성을 공개하기 전에 Solana Foundation은 유효성 검사기에 연락하여 고정 프로세스를 개인적으로 조정했습니다. 이 방법을 통해 유효성 검사기는 솔루션을 빠르게 배포 할 수있었습니다. 그러나이 움직임은 분산 및 투명성에 대한 새로운 우려를 불러 일으켰습니다.

Solana co-founder Anatoly Yakovenko responded to the criticism on X, saying that similar coordination happens on Ethereum too. According to him, major Ethereum validators, including Binance, Coinbase, Kraken, and Lido, could quickly agree to implement urgent security patches whenever needed.

Solana의 공동 창립자 Anatoly Yakovenko는 X에 대한 비판에 응답하여 이더 리움에서도 비슷한 조정이 발생한다고 말했습니다. 그에 따르면 Binance, Coinbase, Kraken 및 Lido를 포함한 주요 이더 리움 유효성 검사기는 필요할 때마다 긴급 보안 패치를 구현하기로 신속하게 동의 할 수 있습니다.

“Bro, it’s the same people to get to 70% on ethereum. All the lido validators (chorus one, p2p, etc..) binance, coinbase, and kraken. If geth needs to push a patch, I’ll be happy to coordinate for them.”

"Bro, Ethereum에서 70%를 얻는 것은 같은 사람들입니다. 모든 Lido Validators (Chorus One, P2P 등) Binance, Coinbase 및 Kraken. Geth가 패치를 밀어야한다면 기꺼이 조정해야합니다."

However, critics questioned how the Solana Foundation contacted all validators in the network. Moreover, users expressed concerns about censorship or rollback through off-chain coordination, referencing prior similar responses to undisclosed bugs.

그러나 비평가들은 Solana Foundation이 네트워크의 모든 유효성 검사기에 어떻게 연락하는지 의문을 제기했습니다. 또한, 사용자는 공개되지 않은 버그에 대한 이전의 유사한 응답을 참조하여 오프 체인 조정을 통한 검열 또는 롤백에 대한 우려를 표명했습니다.

Confidential Transfer Feature Had Limited Adoption

기밀 이전 기능은 채택이 제한적이었습니다

Technically, the identified vulnerability posed a threat to token forgery and theft, but its practical impact remained limited. The affected feature, known as confidential transfer, was minimally implemented throughout the network by third parties.

기술적으로, 식별 된 취약성은 토큰 위조 및 도난에 위협이되었지만 실질적인 영향은 제한적이었다. 기밀 전송으로 알려진 영향을받는 기능은 제 3 자에 의해 네트워크 전체에서 최소한으로 구현되었습니다.

Despite speculations about its involvement, Paxos said that it’s not operating the confidential transfer system. A spokesperson stated that the service is currently not live on any Paxos-issued stablecoins.

Paxos는 참여에 대한 추측에도 불구하고 기밀 전송 시스템을 운영하지 않는다고 말했다. 한 대변인은이 서비스가 현재 Paxos에서 발행 된 Stablecoins에서 살아 있지 않다고 밝혔다.

Related: How Browser Wallet Permissions Were Exploited in the Latest LinkedIn Job Offer Scam

관련 : 최신 LinkedIn 구인 사기에서 브라우저 지갑 권한이 활용되는 방법

Meanwhile, Ethereum community member Ryan Berckmans argued that Solana remains vulnerable due to its reliance on a single production-ready client, Agave. In contrast, he highlighted Ethereum’s client diversity, with the leading client, Geth, holding 41% market share, fostering protocol resilience.

한편, 이더 리움 커뮤니티 멤버 인 Ryan Berckmans는 단일 생산 준비 고객 인 Agave에 대한 의존으로 인해 Solana가 취약한 상태로 남아 있다고 주장했다. 대조적으로, 그는 Ethereum의 고객 다양성을 강조했으며, 주요 고객 인 Geth는 41%의 시장 점유율을 보유하고 프로토콜 복원력을 키 웠습니다.

Solana plans to launch its new network client, Firedancer, in the upcoming months to solve this problem. According to the Foundation, coordinated emergency patches are a requirement for network security and do not indicate centralization.

Solana는 다음 달 에이 문제를 해결하기 위해 새로운 네트워크 클라이언트 인 FiredAncer를 시작할 계획입니다. 재단에 따르면, 조정 된 비상 패치는 네트워크 보안의 요구 사항이며 중앙 집중화를 나타내지 않습니다.