솔라나 생태계의 ZK ElGamal Proof 취약점
솔라나 재단의 공식 블로그에 따르면, 보안 연구자들이 솔라나 생태계의 이해관계자들에게 ZK ElGamal Proof 프로그램에서 잠재적인 취약점을 보고했습니다. 이 보고서에는 취약점의 개념 증명(Proof-of-Concept, PoC)이 포함되어 있으며, 현재까지 이 취약점의 악용 사례는 발견되지 않았습니다.
취약점의 영향
평가 결과, 이 취약점은 공격자가 임의의 증명을 구성하고 검증을 우회할 수 있게 하여 Token-2022 기밀 토큰에 영향을 미치며, 이를 통해 무제한 코인 민팅과 같은 불법적인 작업을 수행할 수 있게 합니다.
대응 조치
이에 대응하기 위해, 6월 11일 관련 팀은 업그레이드 가능한 Token-2022 프로그램을 업데이트하여 기밀 전송 기능을 먼저 비활성화했습니다. 6월 13일, 솔라나 기술 디스코드에 긴급 업그레이드 요청이 전송되어 운영자들에게 ZK ElGamal Proof 프로그램을 비활성화하기 위해 소프트웨어를 업그레이드할 것을 요구했습니다.
6월 19일, 메인넷-베타 에포크 805의 시작과 함께 프로그램은 기능 활성화를 통해 공식적으로 비활성화되었습니다.
현재 상황 및 향후 계획
현재 ZK ElGamal 기능을 사용하는 Token-2022 기능은 주로 테스트 중인 혁신적인 제품에서 사용되고 있습니다. 비록 주류 스테이블코인들이 기밀 전송을 초기화했지만, 사용자에게는 개방되지 않아 실제 사용률은 극히 낮고 영향은 상대적으로 미미합니다. 이 프로그램은 감사가 완료되고 문제가 수정된 후 재활성화될 예정이며, 이는 몇 개월이 걸릴 것으로 예상됩니다.
