Разработчики Solana исправили ошибку, позволявшую неограниченно выпускать определенные токены
By: block-chain24|2025/05/05 16:15:05
0
Поделиться
Фонд Solana подтвердил, что уязвимость нулевого дня, которая позволяла злоумышленнику потенциально выпускать определенные токены и даже выводить эти токены из учетных записей пользователей, была устранена. В отчете от 3 мая от Фонда Solana говорится, что уязвимость безопасности, впервые обнаруженная 16 апреля, могла позволить злоумышленнику подделать недействительное доказательство, влияющее на конфиденциальные токены Solana «Token-22». Фонд сообщил, что случаев эксплуатации этой уязвимости не было, поскольку валидаторы Solana быстро приняли исправленную версию. Ошибка безопасности нулевого дня Solana затронула конфиденциальные токены Token-22 Фонд Solana заявил, что уязвимость безопасности касалась двух программ: Token-2022 и ZK ElGamal Proof. Token-2022 обрабатывает основную логику приложения для выпуска токенов и создания счетов, в то время как ZK ElGamal проверяет правильность доказательств с нулевым разглашением, чтобы показать точные балансы счетов. Фонд заявил, что некоторые алгебраические компоненты были опущены из хэша в генерации транскрипта преобразования Фиата-Шамира, который определяет, как доказывающие создают публичную случайность с помощью криптографической хеш-функции. Уязвимость могла позволить злоумышленнику использовать нехэшированные компоненты, создав поддельное доказательство, которое проходит проверку для выпуска и кражи конфиденциальных токенов Token-22. Конфиденциальные токены Token-22, или «токены расширения», используют доказательства с нулевым разглашением для частных переводов и направлены на включение расширенных функций токенов. Уязвимость была впервые обнаружена 16 апреля, и для устранения проблем были развернуты два исправления. Большинство валидаторов Solana приняли исправления примерно через два дня. Компании-разработчики Solana — Anza, Firedancer и Jito — были основными сторонами, стоящими за исправлением безопасности, в то время как Asymmetric Research, Neodyme и OtterSec также оказывали помощь. Фонд подтвердил, что все средства остаются в безопасности. Несмотря на исправление, частное решение проблемы межу валидаторами сети и фондом Solana вызвало обеспокоенность централизацией у некоторых представителей криптосообщества. В том числе участник Curve Finance (CRV) , который выразил обеспокоенность по поводу тесной связи фонда с валидаторами Solana. «Зачем кому-то нужен список всех валидаторов и их контактные данные? О чем еще они говорят в этих каналах связи», — спросил он, опасаясь, что они могут вступить в сговор с целью потенциальной цензуры транзакций или отката блокчейна. Генеральный директор Solana Labs Анатолий Яковенко напрямую не опроверг эти заявления, но сказал, что члены сообщества Ethereum также могут координировать действия для устранения аналогичной ошибки безопасности. Источник: Clouted. Более 70% валидаторов сети Ethereum также контролируются криптовалютными биржами или операторами стекинга, такими как Lido (LDO) , сказал Яковенко, аргументируя свою точку зрения. «Это те же люди, которые достигают 70% на Ethereum. Все валидаторы Lido (Chorus One, P2P и т. д.) Binance, Coinbase и Kraken. Если Geth нужно будет выпустить патч, я буду рад координировать их действия», — добавил он. В августе Фонд Solana и валидаторы сети устранили еще одну критическую уязвимость за кулисами. В то время исполнительный директор фонда Дэн Альберт сказал, что возможность координировать патч не означает, что Solana централизована. Ethereum не поддастся той же проблеме, говорит член сообщества Член сообщества Ethereum Райан Беркманс раскритиковал заявления о том, что Ethereum подвержен тем же проблемам централизации, что и Solana, указав, что у Ethereum достаточно разнообразных клиентов. Самый популярный клиент Ethereum, geth, занимает не более 41% доли рынка Ethereum, сказал Беркманс, отметив при этом, что у Solana есть только один готовый к производству клиент, Agave. «Это означает, что ошибки нулевого дня в одном клиенте Solana являются фактическими ошибками протокола. Измените программу одного клиента, измените сам протокол. Клиент — это протокол», — пояснил Беркманс. Между тем, Solana планирует выпустить новый клиент, Firedancer, в ближайшие несколько месяцев, что, как ожидается, улучшит устойчивость и время безотказной работы сети. Однако, Беркманс сказал, что Solana понадобится три клиента, чтобы быть достаточно децентрализованной на уровне клиента. Источник: Райан Беркманс
Вам также может понравиться
AIDC, аренда вычислительных мощностей и облачные сервисы: «трехэтапный тезис» трансформации майнинговых ферм в сфере ИИ
«ИИ-трансформация» майнинговых ферм — это не просто лозунг; она проходит через три четко различимых этапа.
У Futu конфисковали всю незаконную прибыль: сигнал для криптовалютных бирж
Даже если иностранные финансовые организации получили лицензии за рубежом, если они фактически предоставляют финансовые услуги резидентам материкового Китая, китайские регулирующие органы могут оценивать их действия в соответствии с законодательством КНР.
IOSG Founder: Please tell Vitalik the truth, let the OGs who have enjoyed the industry's dividends enlighten the young people
The wage earners freeze to death on the road, the sellers of goods die of thirst on the way. The weavers of brocade wear coarse cloth, and the grain growers do not have enough to eat.
Morning Report | SpaceX reveals it holds approximately $1.45 billion in Bitcoin; Nvidia's Q1 financial report shows revenue of $81.6 billion; Manus plans to raise $1 billion for buyback business
Overview of Important Market Events on May 21
Insiders: DeepSeek is forming a Harness team to compete with Claude Code
DeepSeek Code is coming.
SpaceX officially submitted its prospectus, unveiling the largest IPO in history
SpaceX's public market debut could take place as early as June, making it the first in a series of giant IPOs from AI companies, with OpenAI and Anthropic also waiting for the right moment.
The financial changes under the new SEC regulations: Opportunities and regulatory red lines behind "tokenized stocks"
In-depth analysis of "tokenized stocks": The SEC's advancement of an innovation exemption framework has sparked heated discussions, revealing the real risks behind third-party "synthetic asset" certificates and 24/7 trading.
Blockchain Capital Partner: The structure of on-chain dual-layer capital is still in the early stages of value discovery
How can the on-chain economy build a capital structure that promotes open innovation while also considering institutional scale?
Secured over $60 million in funding from Dragonfly, Sequoia, and others, learn about the on-chain derivatives protocol Variational | CryptoSeed
What is the difference with Hyperliquid?
I tested with $10,000: zero wear and tear, annualized 8%, and can earn points (with complete tutorial + screenshots)
Perps DEX newcomer StandX launches native stablecoin DUSD, achieving a real APY of 8.46% with its innovative three-tier yield mechanism, breaking the 3% traditional stablecoin interest rate ceiling.
Morning Report | Deloitte acquires crypto infrastructure company Blocknative; stablecoin company Checker completes $8 million financing; a16z may have become the largest external institutional holder of HYPE
Overview of Important Market Events on May 20
Interpretation of xBubble SOP: Packaging Vibe Coding for non-technical users
DAPPOS has launched the low-threshold AI application xBubble, which innovatively automates the packaging of complex large model workflows with an SOP system, allowing users with no technical background to complete professional-level AI tasks with just one sentence.
From Followers to Price Setters: The Role of the Crypto Market is Reversing
The encryption platform successfully achieved precise pre-listing pricing on CBRS, indicating that Crypto is gradually transforming from a follower of traditional finance into a new pricing hub for global assets through innovative mechanisms.
a16z invested $356 million to aggressively acquire HYPE, surpassing Paradigm to become the largest external holding institution
Eight months later, the price of HYPE is approaching its previous high, and institutions like a16z, Goldman Sachs, and Grayscale are collectively taking action. What is their intention?
Google officially declares war
Google has issued a challenge to all its competitors with three weapons: technology, traffic, and pricing.
Coinbase stuffed USDC into Hyperliquid; who made money from this transaction?
On the surface, it seems like a good deal for Hyperliquid with doubled revenue, but in reality, Coinbase has obtained something more valuable: a global distribution channel for USDC. In a situation where it is besieged domestically and locked out by USDT overseas, embedding stablecoins into the larg...
It is Bankless that needs Ethereum, not Ethereum that needs Bankless
The role of Bankless is being replaced by a more decentralized, specialized, and diverse "narrative network."
# Влияние уровня в $60,000 на биткоин-рынок
Key Takeaways Биткоин снова упал до уровня $60,000, что стало «ключевой структурной отметкой» для трейдеров. Напряженность в рынке…
AIDC, аренда вычислительных мощностей и облачные сервисы: «трехэтапный тезис» трансформации майнинговых ферм в сфере ИИ
«ИИ-трансформация» майнинговых ферм — это не просто лозунг; она проходит через три четко различимых этапа.
У Futu конфисковали всю незаконную прибыль: сигнал для криптовалютных бирж
Даже если иностранные финансовые организации получили лицензии за рубежом, если они фактически предоставляют финансовые услуги резидентам материкового Китая, китайские регулирующие органы могут оценивать их действия в соответствии с законодательством КНР.
IOSG Founder: Please tell Vitalik the truth, let the OGs who have enjoyed the industry's dividends enlighten the young people
The wage earners freeze to death on the road, the sellers of goods die of thirst on the way. The weavers of brocade wear coarse cloth, and the grain growers do not have enough to eat.
Morning Report | SpaceX reveals it holds approximately $1.45 billion in Bitcoin; Nvidia's Q1 financial report shows revenue of $81.6 billion; Manus plans to raise $1 billion for buyback business
Overview of Important Market Events on May 21
Insiders: DeepSeek is forming a Harness team to compete with Claude Code
DeepSeek Code is coming.
SpaceX officially submitted its prospectus, unveiling the largest IPO in history
SpaceX's public market debut could take place as early as June, making it the first in a series of giant IPOs from AI companies, with OpenAI and Anthropic also waiting for the right moment.
Служба поддержки:@weikecs
Деловое сотрудничество:@weikecs
Количественная торговля и ММ:bd@weex.com
VIP-программа:support@weex.com
