10btc-CoinPulse Ваш профессиональный навигатор на волатильном рынке криптовалют. Мы предоставляем глубокий технический и фундаментальный анализ, актуальные рыночные данные, сигналы и прогнозы. Будьте в курсе всех ключевых событий: хардфорков, обновлений протоколов и изменений в регулировании. Принимайте взвешенные инвестиционные решения с CoinPulse.
На прошлой неделе блокчейн Solana прошёл по тонкому льду: была оперативно устранена критическая уязвимость нулевого дня, способная открыть ворота для безлимитной эмиссии токенов. Solana Foundation организовала скоординированный (и при этом закрытый) апгрейд с участием валидаторов — всё прошло без медийной огласки и, главное, без ущерба для пользователей.
Как сказано в пост-мортем-отчёте, уязвимость засветилась 16 апреля и была устранена в течение 48 часов благодаря двум патчам, расшаренным среди подавляющего большинства валидаторов. В центре инцидента оказался ZK ElGamal Proof — модуль, отвечающий за верификацию zero-knowledge доказательств, лежащих в основе приватных транзакций по стандарту Token-2022.
Если бы уязвимость не была устранена столь молниеносно, потенциальный злоумышленник мог бы не просто наминтить себе бесконечное количество токенов, но и аккуратно «переписать» чужие средства на себя, используя ловко подделанные ZK-доказательства.
Интересно, что хотя приватные переводы на Solana были анонсированы ещё в октябре 2023 года, широкого распространения они не получили. Была информация, что Paxos может использовать эту фичу для своего стейблкойна USDP, но компания быстро дала обратную связь:
«Конфиденциальные переводы в наших продуктах не активированы, Solana-патч нас не коснулся».
По заявлению Solana Foundation, все активы пользователей остались в неприкосновенности, и ни один кейс эксплуатации багов на момент публикации не зафиксирован. Кто первым обратил внимание на уязвимость, пока неизвестно. Неясно и то, рассчитывает ли информатор на баг-баунти — фонд воздержался от комментариев.
На фоне дискуссий вокруг кулуарного характера обновления, сооснователь Solana Анатолий Яковенко выступил в X (Twitter) с пояснениями:
«Всё те же ребята, что и на Ethereum собирают 70% консенсуса. Lido, Chorus One, P2P, Binance, Coinbase, Kraken — структура сильная, слаженная, без самодеятельности».
Источник: coinspot.io
