Vulnérabilité dans le programme ZK ElGamal Proof
Selon le blog officiel de la Fondation Solana, des chercheurs en sécurité ont identifié une vulnérabilité potentielle dans le programme ZK ElGamal Proof, signalée aux parties prenantes de l’écosystème Solana. Le rapport inclut une preuve de concept (PoC) de cette vulnérabilité, mais aucune exploitation n’a été constatée jusqu’à présent.
Impact de la vulnérabilité
Après évaluation, il a été déterminé que cette vulnérabilité permettrait à des attaquants de générer des preuves arbitraires et de contourner la vérification, affectant le Token-2022, un jeton confidentiel. Cela pourrait leur permettre d’effectuer des opérations illégales, telles que la frappe illimitée de pièces.
Réponses de l’équipe Solana
Pour répondre rapidement à cette menace, l’équipe concernée a mis à jour le programme Token-2022 le 11 juin, en désactivant d’abord la fonction de transfert confidentiel. Le 13 juin, une demande de mise à jour urgente a été publiée sur le Discord de Solana Technology, incitant les opérateurs à mettre à jour leur logiciel pour désactiver le programme ZK ElGamal Proof.
Le 19 juin, au début de l’époque mainnet-beta 805, le programme a été officiellement désactivé par activation de fonction.
État actuel et perspectives
Actuellement, la fonction Token-2022 utilisant ZK ElGamal est principalement employée par des produits innovants en phase de test. Bien que les principaux stablecoins aient initié des transferts confidentiels, ceux-ci ne sont pas accessibles aux utilisateurs. Le taux d’utilisation réel est extrêmement faible, et l’impact de cette vulnérabilité est donc relativement minime.
Le programme sera réactivé après l’achèvement de l’audit et la résolution des problèmes, ce qui devrait prendre plusieurs mois.
