incrypted.com
- Уязвимость позволяла чеканить и красть приватные токены.
- Исправление вызвало критику из-за централизации.
- Solana готовит второго клиента для повышения устойчивости.
Организация Solana Foundation заявила об устранении уязвимости, позволявшей злоумышленникам подделывать доказательства владения и выпускать приватные токены Token-22. Ошибка затрагивала программы Token-2022 и ZK ElGamal Proof, связанные с логикой чеканки и нулевым разглашением.
Проблема возникла из-за пропущенных компонентов в хеше при генерации транскрипта Fiat–Shamir. Это позволяло создать ложное доказательство и чеканить активы. Уязвимость обнаружили эксперты 16 апреля 2025 года и в течение короткого срока ее успешно устранили.
Представители организации подчеркнули, что эксплойта не зафиксировано, и все средства пользователей в безопасности. В разработке патча участвовали разработчики проектов Anza, Firedancer, Jito, а также независимые аудиторы OtterSec и Neodyme.
Однако быстрое и непубличное устранение ошибки вызвало критику. Участники сообщества выразили обеспокоенность тем, что Solana координирует действия с валидаторами в частном порядке, что может нарушать принципы децентрализации.
Соучредитель Solana Анатолий Яковенко отметил, что подобные меры возможны и в Ethereum, где валидаторы также централизованы. Однако критики указали, что у конкурирующего блокчейна есть разнообразие клиентов, а у Solana лишь один — Agave.
Разработчики Solana планируют выпустить новое решение Firedancer для повышения отказоустойчивости сети. Однако, как считают эксперты, еще одного клиента недостаточно — для реальной децентрализации нужно минимум три.
Напомним, мы писали, что канадская публичная компания SOL Strategies инвестирует в Solana до $500 млн.