Solana усунула критичну вразливість Token-22
07.05.2025
Розробники та валідатори Solana спільно працювали над усуненням критичної вразливості безпеки, однак швидке розв’язання цієї проблеми викликало критику через централізований характер мережі.Фонд Solana підтвердив, що нульова вразливість, яка потенційно дозволяла зловмиснику карбувати певні токени й навіть виводити їх з облікових записів користувачів, була усунена.У повідомленні Фонду від 3 травня зазначається, що ця вразливість, вперше виявлена 16 квітня, дозволяла створювати недійсний доказ, який впливав на конфіденційні токени Solana типу Token-22 — ті, що забезпечують підвищену конфіденційність.Вразливість стосувалася двох програм: Token-2022, що відповідає за основну логіку карбування токенів і облікових записів, та ZK ElGamal Proof, який перевіряє коректність доказів з нульовим розголошенням для відображення точних залишків.За даними Фонду, під час генерації транскрипту перетворення Фіата-Шаміра було упущено певні алгебраїчні компоненти з хешу. Це створило можливість зловмиснику сформувати підроблений доказ, який пройшов би перевірку та дозволив би викрасти токени Token-22.Token-22, або «токени розширення», використовують докази з нульовим розголошенням для забезпечення приватності переказів та розширення функціональності токенів.Для усунення вразливості було випущено два патчі, більшість валідаторів прийняли їх уже через два дні після виявлення проблеми.Основну роботу над виправленням здійснювали команди Anza, Firedancer і Jito, за участі Asymmetric Research, Neodyme та OtterSec.Фонд підтвердив, що всі кошти користувачів залишаються в безпеці.