Vulnerabilidad en el Programa ZK ElGamal Proof
Según el blog oficial de la Fundación Solana, investigadores de seguridad han informado sobre una vulnerabilidad potencial en el programa ZK ElGamal Proof a las partes interesadas del ecosistema de Solana. El informe incluye una prueba de concepto (PoC) de la vulnerabilidad, y hasta el momento no se ha detectado ninguna explotación de la misma.
Detalles de la Vulnerabilidad
Tras la evaluación, se determinó que la vulnerabilidad permite a los atacantes construir pruebas arbitrarias y eludir la verificación, lo que afecta al token confidencial Token-2022, permitiendo realizar operaciones ilegales como la acuñación ilimitada de monedas.
Medidas Tomadas
Para abordar esta situación de manera oportuna, el 11 de junio, el equipo correspondiente actualizó el programa Token-2022, deshabilitando inicialmente la función de transferencia confidencial. El 13 de junio, se envió una solicitud de actualización urgente al Discord de Solana Technology, instando a los operadores a actualizar el software para deshabilitar el programa de prueba ZK ElGamal.
El 19 de junio, al inicio de la época 805 de mainnet-beta, el programa fue oficialmente deshabilitado mediante la activación de funciones. Actualmente, la función Token-2022 que utiliza la función ZK ElGamal es mayormente utilizada por productos innovadores en fase de prueba.
Estado Actual y Futuro
Aunque las principales stablecoins han iniciado transferencias confidenciales, estas no están disponibles para los usuarios. La tasa de uso real es extremadamente baja y el impacto es relativamente pequeño. El programa se volverá a habilitar una vez que se complete la auditoría y se resuelvan los problemas, lo que se espera que tome varios meses.
