На прошлой неделе блокчейн Solana прошёл по тонкому льду: была оперативно устранена критическая уязвимость нулевого дня, способная открыть ворота для безлимитной эмиссии токенов. Solana Foundation организовала скоординированный (и при этом закрытый) апгрейд с участием валидаторов — всё прошло без медийной огласки и, главное, без ущерба для пользователей.
Как сказано в пост-мортем-отчёте, уязвимость засветилась 16 апреля и была устранена в течение 48 часов благодаря двум патчам, расшаренным среди подавляющего большинства валидаторов. В центре инцидента оказался ZK ElGamal Proof — модуль, отвечающий за верификацию zero-knowledge доказательств, лежащих в основе приватных транзакций по стандарту Token-2022.
Если бы уязвимость не была устранена столь молниеносно, потенциальный злоумышленник мог бы не просто наминтить себе бесконечное количество токенов, но и аккуратно «переписать» чужие средства на себя, используя ловко подделанные ZK-доказательства.
Интересно, что хотя приватные переводы на Solana были анонсированы ещё в октябре 2023 года, широкого распространения они не получили. Была информация, что Paxos может использовать эту фичу для своего стейблкойна USDP, но компания быстро дала обратную связь:
«Конфиденциальные переводы в наших продуктах не активированы, Solana-патч нас не коснулся».
По заявлению Solana Foundation, все активы пользователей остались в неприкосновенности, и ни один кейс эксплуатации багов на момент публикации не зафиксирован. Кто первым обратил внимание на уязвимость, пока неизвестно. Неясно и то, рассчитывает ли информатор на баг-баунти — фонд воздержался от комментариев.
