资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Solana基金会披露Token-2022标准关键漏洞已悄然修复
Solana基金会近日披露,其Token-2022标准中的一个关键漏洞已于今年4月被悄然修复,成功避免了一场可能造成灾难性后果的安全事件。如果该漏洞被利用,攻击者将能够未经授权铸造无限数量的代币或从任何账户中提取资金。
漏洞详情与修复过程
根据事后分析报告,该漏洞于4月16日首次被报告,并在两天内得到修复。修复工作由Anza、Jito和Firedancer的核心开发团队协调完成,并得到了Asymmetric Research、Neodyme和OtterSec等安全公司的额外支持。
基金会表示,该漏洞影响了Solana Token-2022框架中一个名为"机密转账"的特定功能。该功能依赖于零知识密码学,特别是ZK ElGamal证明系统,以实现隐私交易。然而,用于密码验证的哈希中缺少一个代数组件,为恶意操作留下了可乘之机。
潜在影响与市场反应
该漏洞允许恶意行为者伪造有效的密码证明。凭借这种伪造的证明,他们可以在不被察觉的情况下铸造新代币或清空现有账户。尽管没有观察到实际利用行为,但这一消息还是引发了一些市场波动。CoinGecko的数据显示,相关代币的总价值在消息传出后下跌了约5%,最终稳定在1610万美元。
争议与行业观点
虽然漏洞得到了迅速处理,但Solana决定对此事保密的做法引发了不同的反应。批评者认为,这种悄无声息的修复方式反映了网络中令人不安的集中化程度。一位社区成员质疑,验证者未来是否可能利用类似的协调机制来实施或掩盖有害行为。
然而,也有人为这种做法辩护。包括比特币和Polygon开发者在内的行业资深人士指出,在处理零日漏洞时,秘密补丁是一种标准的行业最佳实践。他们认为,这些幕后工作可以在团队开发安全修复程序的同时防止实时攻击。
Polygon Labs的副总裁Hudson James表示:"这完全没问题。比特币、Zcash和以太坊都曾有过核心开发者需要私下计划秘密漏洞修复的实例。良好的链文化意味着拥有能够完成隐秘修复的成熟开发者。"
Solana联合创始人Anatoly Yakovenko也发表看法,称验证者协调并非其区块链网络独有。他将这一过程与以太坊上类似的共识构建机制进行了比较,后者涉及Lido、Binance、Coinbase和Kraken等验证者。
