Уязвимость в программе ZK ElGamal Proof
Согласно официальному блогу Фонда Solana, исследователи безопасности сообщили о потенциальной уязвимости в программе ZK ElGamal Proof, которая затрагивает экосистему Solana. В отчете представлено доказательство концепции (PoC) данной уязвимости, однако на данный момент её эксплуатация не была зафиксирована.
Последствия уязвимости
После оценки выяснилось, что уязвимость позволяет злоумышленникам создавать произвольные доказательства и обходить проверку, что может затрагивать конфиденциальный токен Token-2022. Это, в свою очередь, может привести к незаконным операциям, таким как неограниченная чеканка монет.
Меры реагирования
Чтобы своевременно отреагировать на ситуацию, 11 июня команда обновила программу Token-2022, временно отключив функцию конфиденциального перевода. 13 июня был отправлен срочный запрос на обновление в Discord Solana Technology, в котором операторам было рекомендовано обновить программное обеспечение для отключения программы ZK ElGamal Proof. 19 июня, в начале эпохи mainnet-beta 805, программа была официально отключена через активацию соответствующей функции.
Текущая ситуация
В настоящее время функция Token-2022, использующая ZK ElGamal, в основном применяется в инновационных продуктах на стадии тестирования. Хотя основные стейблкоины инициализировали конфиденциальные переводы, они не доступны для пользователей. Фактическая степень использования данной функции крайне низка, и её влияние на экосистему относительно небольшое.
Программа будет повторно включена после завершения аудита и устранения выявленных проблем, что, как ожидается, займет несколько месяцев.
