资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Solana基金会确认修复零日漏洞,保障用户资产安全
Solana基金会已确认修复了一个零日漏洞,该漏洞可能导致攻击者铸造特定代币,甚至从用户账户中提取这些代币。在5月3日的事后分析中,Solana基金会表示,该安全漏洞最早于4月16日被发现,可能允许攻击者伪造无效证明,影响Solana的隐私增强型“Token-22机密代币”。基金会指出,目前尚未发现该漏洞被利用的情况,且Solana验证者已采用修复后的版本。
Token-22机密代币受影响
Solana基金会表示,该安全漏洞涉及两个程序:Token-2022和ZK ElGamal Proof。Token-2022负责代币铸造和账户的主要应用逻辑,而ZK ElGamal Proof则验证零知识证明的正确性,以显示准确的账户余额。
基金会解释称,在Fiat-Shamir变换的转录生成过程中,某些代数组件被从哈希中省略,该变换规定了证明者如何使用加密哈希函数生成公共随机性。这一缺陷可能使攻击者通过伪造通过验证的证明来利用未哈希的组件,从而铸造和窃取Token-22机密代币。
Token-22机密代币,或称为“扩展代币”,利用零知识证明实现隐私转账,旨在提供更高级的代币功能。该漏洞于4月16日首次被发现,随后部署了两个补丁来解决问题。大约两天后,绝大多数Solana验证者采用了这些补丁。
开发团队迅速响应
Solana开发公司Anza、Firedancer和Jito是此次安全补丁的主要贡献者,Asymmetric Research、Neodyme和OtterSec也提供了协助。基金会确认,所有资金均保持安全。
中心化问题引发讨论
尽管漏洞已修复,但Solana基金会与验证者私下处理此事的方式引发了加密社区对中心化问题的担忧。一位Curve Finance贡献者质疑基金会与验证者之间的密切关系,担心他们可能合谋审查交易或回滚链上记录。
对此,Solana Labs CEO Anatoly Yakovenko并未直接否认这些指控,但他指出,以太坊社区的成员也可能协调解决类似的安全漏洞。Yakovenko强调,超过70%的以太坊网络验证者同样由加密货币交易所或质押运营商控制。
以太坊社区回应
以太坊社区成员Ryan Berckmans驳斥了以太坊面临与Solana相同中心化问题的说法,他指出以太坊拥有足够的客户端多样性。Berckmans表示,最受欢迎的以太坊客户端geth在以太坊上的市场份额最多为41%,而Solana只有一个生产级客户端Agave。
他进一步指出:“这意味着Solana单一客户端的零日漏洞实际上是协议漏洞。改变单一客户端程序,就相当于改变了协议本身。客户端就是协议。”
Solana计划推出新客户端
与此同时,Solana计划在未来几个月内推出新客户端Firedancer,预计将提高网络的弹性和正常运行时间。然而,Berckmans认为,Solana需要在客户端级别上拥有三个客户端,才能实现充分去中心化。
