" Фонд Solana подтвердил, что уязвимость нулевого дня, которая позволяла злоумышленнику потенциально выпускать определенные токены и даже выводить эти токены из учетных записей пользователей, была устранена.
В отчете от 3 мая от Фонда Solana говорится, что уязвимость безопасности, впервые обнаруженная 16 апреля, могла позволить злоумышленнику подделать недействительное доказательство, влияющее на конфиденциальные токены Solana «Token-22».
Фонд сообщил, что случаев эксплуатации этой уязвимости не было, поскольку валидаторы Solana быстро приняли исправленную версию.
Ошибка безопасности нулевого дня Solana затронула конфиденциальные токены Token-22
Фонд Solana заявил, что уязвимость безопасности касалась двух программ: Token-2022 и ZK ElGamal Proof.
Token-2022 обрабатывает основную логику приложения для выпуска токенов и создания счетов, в то время как ZK ElGamal проверяет правильность доказательств с нулевым разглашением, чтобы показать точные балансы счетов.
Фонд заявил, что некоторые алгебраические компоненты были опущены из хэша в генерации транскрипта преобразования Фиата-Шамира, который определяет, как доказывающие создают публичную случайность с помощью криптографической хеш-функции.
Уязвимость могла позволить злоумышленнику использовать нехэшированные компоненты, создав поддельное доказательство, которое проходит проверку для выпуска и кражи конфиденциальных токенов Token-22.
Конфиденциальные токены Token-22, или «токены расширения», используют доказательства с нулевым разглашением для частных переводов и направлены на включение расширенных функций токенов.
Уязвимость была впервые обнаружена 16 апреля, и для устранения проблем были развернуты два исправления. Большинство валидаторов Solana приняли исправления примерно через два дня.
Компании-разработчики Solana — Anza, Firedancer и Jito — были основными сторонами, стоящими за исправлением безопасности, в то время как Asymmetric Research, Neodyme и OtterSec также оказывали помощь.
Фонд подтвердил, что все средства остаются в безопасности.
Несмотря на исправление, частное решение проблемы межу валидаторами сети и фондом Solana вызвало обеспокоенность централизацией у некоторых представителей криптосообщества.
В том числе участник Curve Finance (CRV), который выразил обеспокоенность по поводу тесной связи фонда с валидаторами Solana.
«Зачем кому-то нужен список всех валидаторов и их контактные данные? О чем еще они говорят в этих каналах связи», — спросил он, опасаясь, что они могут вступить в сговор с целью потенциальной цензуры транзакций или отката блокчейна.
Генеральный директор Solana Labs Анатолий Яковенко напрямую не опроверг эти заявления, но сказал, что члены сообщества Ethereum также могут координировать действия для устранения аналогичной ошибки безопасности.
Источник: Clouted.
Более 70% валидаторов сети Ethereum также контролируются криптовалютными биржами или операторами стекинга, такими как Lido (LDO), сказал Яковенко, аргументируя свою точку зрения.
«Это те же люди, которые достигают 70% на Ethereum. Все валидаторы Lido (Chorus One, P2P и т. д.) Binance, Coinbase и Kraken. Если Geth нужно будет выпустить патч, я буду рад координировать их действия», — добавил он.
В августе Фонд Solana и валидаторы сети устранили еще одну критическую уязвимость за кулисами. В то время исполнительный директор фонда Дэн Альберт сказал, что возможность координировать патч не означает, что Solana централизована.
Ethereum не поддастся той же проблеме, говорит член сообщества
Член сообщества Ethereum Райан Беркманс раскритиковал заявления о том, что Ethereum подвержен тем же проблемам централизации, что и Solana, указав, что у Ethereum достаточно разнообразных клиентов.
Самый популярный клиент Ethereum, geth, занимает не более 41% доли рынка Ethereum, сказал Беркманс, отметив при этом, что у Solana есть только один готовый к производству клиент, Agave.
«Это означает, что ошибки нулевого дня в одном клиенте Solana являются фактическими ошибками протокола. Измените программу одного клиента, измените сам протокол. Клиент — это протокол», — пояснил Беркманс.
Между тем, Solana планирует выпустить новый клиент, Firedancer, в ближайшие несколько месяцев, что, как ожидается, улучшит устойчивость и время безотказной работы сети.
Однако, Беркманс сказал, что Solana понадобится три клиента, чтобы быть достаточно децентрализованной на уровне клиента.
Источник: Райан Беркманс
