Фонд Solana: обнаружена потенциальная уязвимость в программе доказательства ZK ElGamal, доказательств эксплуатации нет, влияние ограничено

Odaily Planet Daily — Согласно официальному блогу Solana Foundation, исследователи в области безопасности сообщили о потенциальной уязвимости в программе ZK ElGamal Proof соответствующим участникам экосистемы Solana. В отчёте был представлен прототип (PoC) уязвимости, однако на данный момент нет доказательств её эксплуатации.
По оценке специалистов, уязвимость могла позволить злоумышленникам создавать произвольные доказательства и обходить проверку, что затрагивает конфиденциальные токены Token-2022 и открывает возможность для незаконных действий, таких как неограниченный выпуск токенов. Для оперативного реагирования 11 июня соответствующие команды обновили программу Token-2022 с возможностью обновления, чтобы в первую очередь отключить функцию конфиденциальных переводов. 13 июня в Discord Solana Tech был отправлен экстренный запрос на обновление, призывающий операторов обновить программное обеспечение для отключения программы ZK ElGamal proof. 19 июня, с началом эпохи mainnet-beta 805, программа была официально отключена посредством активации соответствующей функции.
В настоящее время функция ZK ElGamal в Token-2022 в основном используется инновационными продуктами на этапе тестирования. Хотя крупные стейблкоины и инициализировали конфиденциальные переводы, эта функция не была предоставлена пользователям, что привело к крайне низкому фактическому использованию и ограниченному влиянию. Программа будет вновь активирована после завершения аудита и устранения проблемы, что, как ожидается, займёт несколько месяцев.