Potentiel Sårbarhed i ZK ElGamal Proof-programmet
Ifølge den officielle blog fra Solana Foundation har sikkerhedsforskere rapporteret en potentiel sårbarhed i ZK ElGamal Proof-programmet til interessenter i Solana-økosystemet. Rapporten inkluderer et proof-of-concept (PoC) af sårbarheden, men der er ikke blevet fundet nogen udnyttelse af den indtil videre.
Risiko og Reaktion
Efter evalueringen tillader sårbarheden angribere at konstruere vilkårlige beviser og omgå verifikation, hvilket påvirker Token-2022, der er et fortroligt token, og muliggør ulovlige operationer såsom ubegrænset møntprægning.
“For at reagere hurtigt opdaterede det relevante team den opgraderbare Token-2022-program den 11. juni og deaktiverede først den fortrolige overførselsfunktion.”
Den 13. juni blev der sendt en hastende opgraderingsanmodning til Solana Technology Discord, som krævede, at operatører opgraderede softwaren for at deaktivere ZK ElGamal Proof-programmet. Den 19. juni, i begyndelsen af mainnet-beta epoke 805, blev programmet officielt deaktiveret gennem funktionsaktivering.
Nuværende Status og Fremtidige Planer
I øjeblikket anvendes Token-2022-funktionen, der bruger ZK ElGamal-funktionen, hovedsageligt af innovative produkter under test. Selvom de førende stablecoins har initieret fortrolige overførsler, er de ikke åbne for brugere, og den faktiske anvendelsesgrad er ekstremt lav, hvilket gør påvirkningen relativt lille.
Programmet vil blive genaktiveret, efter at revisionen er afsluttet, og problemerne er løst, hvilket forventes at tage flere måneder.
