Разработчики Solana устранили критическую уязвимость нулевого дня для Token-22
- Уязвимость позволяла минтить и красть приватные токены.
- Исправление вызвало критику из-за централизации.
- Solana готовит второго клиента для повышения устойчивости.
Организация Solana Foundation заявила об устранении уязвимости, позволявшей злоумышленникам подделывать доказательства владения и выпускать приватные токены Token-22. Ошибка затрагивала программы Token-2022 и ZK ElGamal Proof, связанные с логикой чеканки и нулевым разглашением.
Проблема возникла из-за пропущенных компонентов в хеше при генерации транскрипта Fiat–Shamir. Это позволяло создать ложное доказательство и минтить активы. Уязвимость обнаружили эксперты 16 апреля 2025 года и в течение короткого срока ее успешно устранили.
Представители организации подчеркнули, что эксплойта не зафиксировано, и все средства пользователей в безопасности. В разработке патча участвовали разработчики проектов Anza, Firedancer, Jito, а также независимые аудиторы OtterSec и Neodyme.
Путь от Qualcomm до Solana Foundation – большое интервью с Дэном Альбертом 04.07.2024 15 мин 2206 читатьОднако быстрое и непубличное устранение ошибки вызвало критику. Участники сообщества выразили обеспокоенность тем, что Solana координирует действия с валидаторами в частном порядке, что может нарушать принципы децентрализации.
Соучредитель Solana Анатолий Яковенко отметил, что подобные меры возможны и в Ethereum, где валидаторы также централизованы. Однако критики указали, что у конкурирующего блокчейна есть разнообразие клиентов, а у Solana лишь один — Agave.
Разработчики Solana планируют выпустить новое решение Firedancer для повышения отказоустойчивости сети. Однако, как считают эксперты, еще одного клиента недостаточно — для реальной децентрализации нужно минимум три.
Напомним, мы писали,
Читать на incrypted.com
