У Solana нейтралізували критичну вразливість без залучення широкого розголосу
Дата: 2025-05-05 Автор: Henry Casey Категорії: БІЗНЕС
У середині квітня фахівці з команди Anza знайшли вразливість в одній із програм криптомережі Solana щодо системи ZK ElGamal, яка використовується для конфіденційних транзакцій в рамках ініціативи Token-2022. Загроза полягала в тому, що зловмисник міг створювати підроблені докази, що дозволяють випускати необмежену кількість токенів та списувати їх із чужих рахунків.
Суть проблеми була у неповному включенні деяких елементів у хеш на етапі перетворення Фіата-Шаміра. Це відкривало шлях фальсифікації криптографічних доказів, особливо у руках досвідченого атакуючого. Фахівці виявили баг 16 квітня, а вже 17 числа розпочали розсилку патчу. Щоб повністю вирішити питання, знадобилося внести виправлення до кількох ділянок коду.
Більшість операторів нід встигли оновити програмне забезпечення до 18 квітня. Оскільки вразливість торкалася виключно компонента ZK ElGamal, оновлень для основної програми Token-2022 не знадобилося. Представники Solana Foundation запевнили, що всі активи користувачів залишилися у безпеці, і на момент усунення помилки не було зафіксовано спроб її експлуатації.
Деякі учасники криптоспільства висловили стурбованість тим, що Solana усунула вразливість без публічного повідомлення, погодивши дії з більш ніж 70% валідаторів у приватному порядку. Один із коментаторів припустив, що подібний підхід може створити ризики у майбутньому і навіть дозволити реалізації так званого «нульового дня».
Співзасновник проекту Анатолій Яковенко виступив на захист такого способу реагування, наголосивши, що аналогічні заходи практикуються і в інших блокчейнах. Він наголосив, що більшість валідаторів, включаючи Lido, Binance, Coinbase і Kraken, діють схожим чином і в Ethereum, де необхідний консенсус у 70% нод. Яковенко також висловив готовність координувати зусилля за потреби термінових оновлень, наприклад, для клієнта Geth.
Наприкінці квітня Solana Foundation представила низку ініціатив, спрямованих на підвищення децентралізації мережі. За даними Blockworks, наразі у Solana налічується 1218 активних валідаторів. Для порівняння, в Ethereum, за даними Ethernodes, працюють 17126 вузлів, з яких 11025 використовують Geth. При цьому в стейкінгу заблоковано близько 28% ETH, тоді як у SOL цей показник становить 65%.
Раніше аналітики Fidelity та JPMorgan назвали Solana одним з основних конкурентів Ethereum, підкреслюючи її технічний потенціал та активний розвиток.
