Solana (SOL) 뉴스 : 개발자 패치 버그는 공격자가 토큰을 훔칠 수 있도록 이끌 수 있습니다.

Solana는 공격자가 민트를 훔쳐 특정 토큰을 훔칠 수있는 버그를 조용히 수정합니다.

정교한 공격자는 온 체인 검증자가 여전히 받아 들일 것이라는 잘못된 증거를 만들 수 있습니다. 이를 통해 무제한 토큰을 마이닝하거나 다른 계정에서 토큰을 인출하는 것과 같은 무단 조치가 허용되었을 것입니다.

2025 년 5 월 5 일 오전 7시 10 분

Solana Foundation은 공격자가 가짜 제로 지식 증거를 만들어내어 무단 마이닝 또는 토큰 철수를 가능하게하는 개인 정보 집중 토큰 시스템에서 이전에 알려지지 않은 취약점을 공개했습니다.

이 취약점은 4 월 16 일에 ANZA의 GitHub 보안 자문을 통해 처음보고되었으며,이 개념은 작업 개념 증명과 함께 처음보고되었습니다. Solana Development Teams Anza, Firedancer 및 Jito의 엔지니어는 버그를 확인하고 사후에 따라 즉시 수정 작업을 시작했습니다. 토요일에 출판,

이 문제는 Solana의 Token-22 기밀 전송에 사용되는 제로 지식 증명 (ZKP)을 확인하는 ZK Elgamal Proof 프로그램에서 비롯되었습니다. 이 확장 토큰은 암호화 금액을 암호화하고 암호화 증명을 사용하여이를 검증하여 개인 잔액 및 전송을 가능하게합니다.

ZKP는 누군가가 자신이 암호 나 나이와 같은 것을 알 수 있거나 암호 또는 나이와 같은 것에 액세스 할 수있는 암호화 방법입니다.

암호화 애플리케이션에서, 이들은 특정 금액이나 주소를 표시하지 않고 거래가 유효하다는 것을 증명하는 데 사용될 수 있습니다 (그렇지 않으면 악용을 계획하기 위해 악의적 인 행위자가 사용할 수 있음).

버그는 Fiat-Shamir 변환 중에 일부 대수 구성 요소가 해싱 프로세스에서 누락 되었기 때문에 발생했습니다. (상호 관계가 아닌 것은 누구나 확인할 수있는 일회성 증거로 앞뒤 프로세스를 전환하는 것을 의미합니다.)

정교한 공격자는 온 체인 검증자가 여전히 받아 들일 것이라는 잘못된 증거를 만들 수 있습니다.

이를 통해 무제한 토큰을 마이닝하거나 다른 계정에서 토큰을 인출하는 것과 같은 무단 조치가 허용되었을 것입니다.

따라서이 취약점은 표준 SPL 토큰 또는 기본 토큰 -2022 프로그램 논리에 영향을 미치지 않았습니다.

패치는 4 월 17 일부터 유효성있는 운영자에게 개인적으로 배포되었습니다. 그날 저녁 코드베이스의 다른 곳에서 관련 문제를 해결하기 위해 두 번째 패치가 푸시되었습니다.

둘 다 타사 보안 회사 비대칭 연구, Neodyme 및 Ottersec에 의해 검토되었습니다. 4 월 18 일까지, 유효성 검사기의 초고심 이이 수정을 채택했습니다.

사후 사후에 따르면 버그가 악용되었다는 징후는 없으며 모든 자금은 안전하게 유지됩니다.