Các trình xác thực Solana vá lỗi zero-day có thể đã dẫn đến việc đúc không giới hạn một số token

Bitget App

Giao dịch thông minh hơn

Bitget

Tin tức

Xem bài gốc

The Block2025/05/04 21:56

Theo:By Zack Abrams

Tóm tắt nhanh Quỹ Solana thông báo rằng một lỗ hổng zero-day gần đây ảnh hưởng đến các giao dịch bảo mật trên Solana đã được vá sau khi các trình xác thực phối hợp cập nhật mạng. Lỗi này, được phát hiện vào ngày 16 tháng 4 và được khắc phục trong vòng hai ngày, có thể đã cho phép kẻ tấn công kiểm soát không giới hạn đối với một số token Solana nhất định.

Các trình xác thực Solana vá lỗi zero-day có thể đã dẫn đến việc đúc không giới hạn một số token image 0

Một lỗ hổng "zero-day" gần đây ảnh hưởng đến một số token trên blockchain Solana đã được vá sau khi Quỹ Solana, đơn vị quản lý mạng lưới, tổ chức riêng các trình xác thực để triển khai một bản sửa lỗi quan trọng.

Theo báo cáo sau sự cố của Quỹ, lỗ hổng này được phát hiện lần đầu vào ngày 16 tháng 4 và đã được vá hoàn toàn hai ngày sau đó sau hai bản sửa lỗi được triển khai lên mạng lưới bởi phần lớn các trình xác thực của Solana. Các trình xác thực được tổ chức riêng bởi Quỹ Solana, không công khai lỗ hổng trước khi có thể thực hiện sửa lỗi.

Lỗ hổng nghiêm trọng này ảnh hưởng đến chương trình ZK ElGamal Proof, hệ thống xác minh các bằng chứng không tiết lộ thông tin giúp thực hiện các giao dịch bảo mật của một số token theo tiêu chuẩn Token-2022 của Solana. Một kẻ tấn công có thể lý thuyết tạo ra một số lượng token không giới hạn hoặc đánh cắp token từ bất kỳ tài khoản người dùng nào bằng cách sử dụng các bằng chứng giả mạo tinh vi.

Mặc dù tính năng chuyển giao bảo mật đã được hỗ trợ trên Solana từ tháng 10 năm 2023, tính năng này chưa được áp dụng rộng rãi. Mặc dù một số báo cáo cho rằng stablecoin USDP của Paxos sử dụng tính năng này, Paxos đã phủ nhận các báo cáo trong một tuyên bố với The Block. "Các chuyển giao bảo mật hiện không hoạt động trên bất kỳ stablecoin nào do Paxos phát hành," một phát ngôn viên cho biết. "Do đó, bản vá Solana này không ảnh hưởng đến Paxos hay các sản phẩm của nó."

"Tất cả các quỹ đều an toàn, và không có khai thác nào được biết đến của lỗ hổng tiềm năng," báo cáo của Quỹ cho biết. Hiện tại chưa rõ ai là người đầu tiên phát hiện lỗ hổng và liệu họ có được nhận thưởng lỗi hay không; Quỹ Solana không thể được liên lạc ngay lập tức để bình luận.

Đồng sáng lập Solana Anatoly Yakovenko đã bảo vệ nỗ lực của Quỹ trong việc phối hợp nâng cấp trước những chỉ trích trên X. "Đó là những người giống nhau để đạt được 70% [đồng thuận] trên ethereum," Yakovenko nói. "Tất cả các trình xác thực lido (chorus one, p2p, v.v..) binance, coinbase, và kraken."

Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.

PoolX: Khóa để nhận token mới.

APR lên đến 12%. Luôn hoạt động, luôn nhận airdrop.

Khóa ngay!