Yayasan Solana telah mengesahkan bahawa kerentanan zero-day yang membolehkan penyerang berpotensi mencetak token tertentu dan bahkan mengeluarkan token tersebut dari akaun pengguna telah diperbaiki.
Dalam laporan post-mortem pada 3 Mei, Yayasan Solana menyatakan bahawa kerentanan keselamatan yang pertama kali ditemui pada 16 April, boleh membolehkan penyerang memalsukan bukti tidak sah yang mempengaruhi "Token-22 confidential tokens" Solana yang membolehkan privasi.
Tiada eksploitasi yang diketahui terhadap kerentanan tersebut, dan validator Solana telah mengadopsi versi yang telah diperbaiki, menurut yayasan tersebut.
Bug keselamatan zero-day Solana menjejaskan Token-22 confidential tokens
Yayasan Solana mengatakan kerentanan keselamatan tersebut melibatkan dua program: Token-2022 dan ZK ElGamal Proof.
Token-2022 mengendalikan logik aplikasi utama untuk pencetakan token dan akaun, manakala ZK ElGamal Proof mengesahkan ketepatan bukti pengetahuan sifar untuk menunjukkan baki akaun yang tepat.
Yayasan tersebut mengatakan bahawa komponen algebra tertentu telah diabaikan dari hash dalam penjanaan transkrip Transformasi Fiat-Shamir, yang menentukan bagaimana pembukti mencipta kebarangkalian awam menggunakan fungsi hash kriptografi.
Kecacatan ini boleh membolehkan penyerang mengeksploitasi komponen yang tidak di-hash dengan mencipta bukti palsu yang lulus pengesahan untuk mencetak dan mencuri Token-22 confidential tokens.
Token-22 confidential tokens, atau "Extension Tokens," menggunakan bukti pengetahuan sifar untuk pemindahan peribadi dan bertujuan untuk membolehkan fungsi token yang lebih maju.
Kerentanan ini pertama kali dikenal pasti pada 16 April, dan dua patch telah dikerahkan untuk menyelesaikan masalah tersebut. Majoriti validator Solana mengadopsi patch tersebut sekitar dua hari kemudian.
Firma pembangunan Solana seperti Anza, Firedancer dan Jito adalah pihak utama di belakang patch keselamatan tersebut, manakala Asymmetric Research, Neodyme dan OtterSec juga membantu.
Yayasan mengesahkan bahawa semua dana kekal selamat.
Berkaitan: Bloomberg Intelligence meningkatkan peluang kelulusan ETF Solana kepada 90%
Walaupun masalah ini telah diperbaiki, pengendalian peribadi Yayasan Solana terhadap isu dengan validator Solana menimbulkan kebimbangan tentang pemusatan dari beberapa pihak dalam komuniti mata wang kripto.
Ini termasuk seorang penyumbang Curve Finance yang menyuarakan kebimbangan tentang hubungan rapat yayasan dengan validator Solana.
“Mengapa seseorang mempunyai senarai semua validator dan butiran hubungan mereka? Apa lagi yang mereka bincangkan dalam saluran komunikasi tersebut?” mereka bertanya, bimbang bahawa mereka boleh bersekongkol untuk berpotensi menyensor transaksi atau menggulung balik rantaian.
CEO Solana Labs, Encik Anatoly Yakovenko tidak secara langsung menafikan dakwaan tersebut tetapi mengatakan bahawa ahli komuniti Ethereum juga boleh berkoordinasi untuk menyelesaikan bug keselamatan yang serupa.
Lebih daripada 70% validator rangkaian Ethereum juga dikawal oleh pertukaran mata wang kripto atau pengendali staking seperti Lido, menurut Yakovenko menyatakan dalam hujahnya.
“Ia adalah orang yang sama untuk mencapai 70% pada ethereum. Semua validator lido (chorus one, p2p, dll..) binance, coinbase, dan kraken. Jika geth perlu menolak patch, saya akan gembira untuk berkoordinasi untuk mereka.”
Pada bulan Ogos, Yayasan Solana dan validator rangkaian menyelesaikan satu lagi kerentanan kritikal di belakang tabir. Pada masa itu, pengarah eksekutif yayasan, Encik Dan Albert, mengatakan bahawa keupayaan untuk berkoordinasi patch tidak bermakna Solana adalah terpusat.
Ethereum tidak akan terjebak dengan isu yang sama, kata ahli komuniti
Ahli komuniti Ethereum, Encik Ryan Berckmans menolak dakwaan bahawa Ethereum tertakluk kepada isu pemusatan yang sama seperti Solana, dengan menunjukkan bahawa Ethereum mempunyai kepelbagaian klien yang mencukupi.
Klien Ethereum yang paling popular, geth, mempunyai bahagian pasaran maksimum 41% pada Ethereum, menurut Berckmans, sambil menyatakan bahawa Solana hanya mempunyai satu klien yang sedia untuk pengeluaran, Agave.
“Ini bermakna bug zero day dalam klien Sol tunggal adalah bug protokol de facto. Ubah program klien tunggal, ubah protokol itu sendiri. Klien adalah protokol.”
Sementara itu, Solana sedang berusaha untuk melancarkan klien baru, Firedancer, dalam beberapa bulan akan datang, yang dijangka meningkatkan ketahanan dan masa operasi rangkaian.
Namun, Berckmans menyatakan bahawa Solana memerlukan tiga klien untuk menjadi cukup terdesentralisasi pada tahap klien.
Majalah: Memecoin sudah mati — Tetapi Solana '100x lebih baik' walaupun pendapatan merosot