Thông báo về lỗ hổng trong chương trình ZK ElGamal Proof
Theo thông báo từ Quỹ Solana, các nhà nghiên cứu bảo mật đã phát hiện một lỗ hổng tiềm ẩn trong chương trình ZK ElGamal Proof và đã báo cáo điều này tới các bên liên quan trong hệ sinh thái Solana. Báo cáo đi kèm với một bằng chứng khái niệm (PoC) về lỗ hổng, nhưng cho đến nay, chưa có bất kỳ sự khai thác nào được phát hiện.
Chi tiết về lỗ hổng
Sau khi đánh giá, lỗ hổng này cho phép kẻ tấn công tạo ra các bằng chứng tùy ý và vượt qua quá trình xác minh, ảnh hưởng đến Token-2022. Điều này có thể dẫn đến các hoạt động bất hợp pháp như đúc tiền không giới hạn.
Biện pháp ứng phó
Để ứng phó kịp thời, vào ngày 11 tháng 6, đội ngũ liên quan đã cập nhật chương trình Token-2022 có khả năng nâng cấp, vô hiệu hóa chức năng chuyển nhượng bí mật trước đó.
Vào ngày 13 tháng 6, một yêu cầu nâng cấp khẩn cấp đã được gửi đến Solana Technology Discord, yêu cầu các nhà điều hành nâng cấp phần mềm để vô hiệu hóa chương trình ZK ElGamal Proof. Đến ngày 19 tháng 6, trong kỷ nguyên mainnet-beta 805, chương trình đã chính thức bị vô hiệu hóa thông qua việc kích hoạt chức năng.
Tình hình hiện tại
Hiện tại, chức năng Token-2022 sử dụng ZK ElGamal chủ yếu được các sản phẩm đổi mới đang thử nghiệm áp dụng. Mặc dù các stablecoin chính thống đã khởi tạo các chuyển nhượng bí mật, nhưng chúng không mở cho người dùng. Tỷ lệ sử dụng thực tế rất thấp và tác động của lỗ hổng này được đánh giá là tương đối nhỏ.
Chương trình sẽ được kích hoạt lại sau khi hoàn tất kiểm toán và các vấn đề được khắc phục, dự kiến sẽ mất vài tháng.
