Solana Patchers Bug可能會允許攻擊者鑄造和滑動令牌

索拉納網絡驗證者狹窄地避免了災難，推出了一個殺死程序中的錯誤的補丁程序，該貼片本可以允許剝削者以無限量的數量造成某些令牌，或者從任何帳戶中撤回它們。  

在ZK Elgamal Proof計劃中發現了該漏洞，該漏洞只會影響令牌-22機密令牌，該計劃證明了加密餘額並驗證了零知識證明的準確性。  

“在鏈接ZK Elgamal證明程序中，用於生成Fiat-Shamir Transformation的成績單的哈希中未包括一些代數組件，”索拉納Foundation閱讀。 “一個複雜的攻擊者可以使用這些未經壓力的組件來開發未經授權的動作的偽造證明。”

換句話說，剝削者本可以使用偽造的證據將無限量的令牌-22機密令牌或從帳戶中撤回。  

潛在的漏洞首先於4月16日報告給ANZA GITHUB安全諮詢諮詢，並在評估和確認Anza，Firedancer和Jito的工程師後的第二天直接向驗證器推出了補丁。

Anza是一家由前SOLana Labs員工組成的Solana Development商店，而Jito是生態系統中著名的基礎設施公司。 Firedancer是從Jump Crypto開發的Solana驗證器客戶端。

安全公司不對稱研究，Neodyme和Ottersec也被吸引以提供支持並審查補丁。  

到4月18日下午，驗證器運營商的超級雜誌採用了修復程序，其中包括第二個補丁，用於解決代碼庫另一部分中類似問題的修復程序。 現在採用了一個補丁，沒有資金有風險，也沒有發現已知的漏洞利用。

儘管該補丁很快就解決了，眾所周知，索拉納基金會在社交媒體上面臨一些批評。 一些用戶召集了幕後升級，該升級是在基金會通過郵政驗證公開介紹的兩週前進行的。  

“我聽到這句話了嗎？索拉納主網上有零日，> 70％的驗證者私下合謀以升級和修補關鍵錯誤，甚至在公開公開之前。”在X上發布了一個假名以太坊生態系統開發人員（以前是Twitter）。

該帖子在此過程中從著名的Solana Devs和Solana聯合創始人Anatoly Yakovenko中引起了推翻。 即使是長期以太坊的開發商哈德遜·詹姆森（Hudson Jameson）也參與其中，稱這種方法是典型的，並且是解決問題所必需的。

“這完全很好。”詹姆森說在X上。 ”比特幣, ZCASH， 和以太坊所有人都有核心開發人員需要私下計劃秘密錯誤修復的情況。良好的連鎖文化意味著擁有可以完成隱身修復的成熟開發人員。”

“在公開發布之前，我參與了將此補丁分發給驗證者。”蒂姆·加西亞（Tim Garcia）說，索拉納基金會的驗證者關係領導。 “我很高興聽到有關一個更好的過程的建議。不幸的是，在足夠的採用之前，在公共場合進行分發是不開始的。”

這幾乎不是索拉納第一次面臨集中批評。 值得注意的是，去年10月，著名的舉報人愛德華·斯諾登（Edward Snowden）召集了1層區塊鏈超過集中化。 Solana生態系統領導者推遲了Yakovenko說，“像往常一樣，Solana僅通過客觀測量的指標分散，並集中在所有其他指標中。”

Solana 目前擁有1,279個驗證器，根據其網站。  

編輯安德魯·海沃德（Andrew Hayward）