Солана тихо исправляет ошибку, которая могла бы позволить злоумышленникам стоить и украсть определенные токены

Фонд Солана раскрыл ранее неизвестную уязвимость в своей системе токенов, ориентированной на конфиденциальность, которая могла бы позволить злоумышленникам создавать фальшивые доказательства нулевого знания, что позволило бы не привести к снятию токенса. Инженеры из команд разработчиков Solana Anza, FireNancer и Jito проверили ошибку и начали немедленно работать над исправлением, согласно посмертной опубликованной субботе,

Проблема, возникающая в программе доказательств ZK Elgamal, которая проверяет доказательства нулевых знаний (zkps), используемые в конфессиональных трансферах Соланы. Эти токены расширения включают частные балансы и переводы путем шифрования количеств и используя криптографические доказательства для их проверки.

В крипто-приложениях их можно использовать, чтобы доказать, что транзакция достоверна без показы конкретных количеств или адресов (которые в противном случае могут использоваться злоумышленными субъектами для планирования эксплойтов).

Ошибка произошла из-за того, что некоторые алгебраические компоненты отсутствовали в процессе хэширования во время преобразования фиат-шамира-стандартного метода в соответствии со стандартным методом. (Неинтерактивное означает превращение процесса обратного и вкратца в одноразовое доказательство, которое может проверить, что каждый может проверить.) Токены или основная логика программы Token-2022.

Плата были распределены в частном порядке для операторов валидаторов, начиная с 17 апреля. Второй патч был выдвинут позже в тот же вечер для решения связанной проблемы в других местах в кодовой базе. К 18 апреля супермаджорирование валидаторов приняло исправление.