Solana生态系统中的安全漏洞
根据Solana基金会的官方博客,安全研究人员向Solana生态系统的利益相关者报告了ZK ElGamal Proof程序的潜在漏洞。报告中包含了该漏洞的概念验证(PoC),目前尚未发现对该漏洞的利用。
该漏洞允许攻击者构造任意证明并绕过验证,影响Token-2022保密代币,使其能够执行诸如无限铸币等非法操作。
为了及时应对,相关团队于6月11日更新了可升级的Token-2022程序,首先禁用了保密转账功能。紧接着在6月13日,紧急升级请求被发送至Solana技术Discord,要求运营商升级软件以禁用ZK ElGamal证明程序。
在6月19日,在主网测试阶段805开始时,该程序通过功能激活正式禁用。目前,使用ZK ElGamal功能的Token-2022主要用于正在测试的创新产品。尽管主流稳定币已初始化保密转账功能,但并未向用户开放,实际使用率极低,因此影响相对较小。
该程序将在审计完成并修复问题后重新启用,预计需要几个月的时间。
