بنیاد سولانا تایید کرد که یک مشکل امنیتی مهم را که به هکر امکان ایجاد توکن و حتی برداشت آنها از حساب کاربری را می داد، برطرف شده است.
سولانا چیست؟ آنچه باید درباره این شبکه و توکن SOL بدانید
این بنیاد پس از بررسی این اتفاق در پستی در 3 مه نوشت که این آسیب پذیری امنیتی که اولین بار در 16 آوریل شناسایی شد، می توانست به هکر اجازه دهد یک اثبات نامعتبر ایجاد کند که این بر استاندارد توکن 2022 شبکه سولانا که قابلیت حریم خصوصی را دارند، تاثیر می گذارد.
بنیاد سولانا اعلام کرد که هنوز هیچ سو استفاده ای از این آسیب پذیری گزارش نشده و اعتبارسنج های شبکه از زمان کشف آن، نسخه اصلاح شده را پذیرفته اند.
باگ امنیتی توکن های استاندارد توکن 2022 را تحت تاثیر قرار داد
بنیاد سولانا گفت که این آسیب پذیری امنیتی مربوط به دو برنامه استاندارد توکن 2022 و اثبات ZK ElGamal بوده است. استاندارد توکن 2022 منطق اصلی برنامه را برای ایجاد توکن ها و حساب ها مدیریت می کند، در حالی که اثبات ZK ElGamal صحت اثبات های دانش صفر را برای نمایش دقیق موجودی حساب ها تایید می کند.
این بنیاد اعلام کرد که برخی از اجزای جبری در فرایند تولید متن تبدیل فیات- شمیر (Fiat-Shamir Transformation)، که مشخص می کند چگونه اثبات کنندگان کلید عمومی تصادفی را با استفاده از یک تابع هش رمزنگاری ایجاد می کنند، از هش حذف شده بودند.
این باگ می توانست به مهاجم این امکان را بدهد که با تولید یک اثبات جعلی از اجزای هش نشده سوء استفاده کند و توکن های محرمانه استاندارد توکن 2022 را ایجاد کرده و به سرقت ببرد. این توکن ها از اثبات دانش صفر برای انتقال های خصوصی استفاده می کنند و هدفشان فعال کردن قابلیت های پیشرفته توکن است.
این آسیب پذیری امنیتی در 16 آوریل شناسایی شده و دو نسخه بروزرسانی شده برای بر طرف کردن آن منتشر شد. اکثر اعتبارسنج های سولانا حدود دو روز بعد این دو نسخه را پذیرفتند.
شرکت های توسعه دهنده سولانا، از جمله آنزا (Anza)، فایردنسر (Firedancer) و جیتو (Jito) از حامیان اصلی نسخه بروزرسانی شده بودند. در حالی که شرکت های نئودایم (Neodyme)، اسیمتریک ریسرچ ( Asymmetric Research) و آترسک (OtterSec) نیز در رفع این مشکل نقش داشته اند. این بنیاد تایید کرد که تمام وجوه ایمن هستند.
با وجود رفع این باگ، نحوه همکاری محرمانه بنیاد سولانا با اعتبارسنج های سولانا، موجب نگرانی برخی اعضای جامعه ارز رمزنگاری در مورد متمرکز شدن شبکه شده است. Saint (Llama) Rat، یکی از مشارکت کنندگان کرو فایننس (Curve Finance)، از جمله افرادی بود که نگرانی هایی را درباره رابطه نزدیک این بنیاد با اعتبارسنج های سولانا مطرح کرد. وی در پستی در پلتفرم ایکس نوشت:
موضوع این است که همه چیز به صورت محرمانه انجام شده است. چرا شخصی فهرستی از تمام اعتبارسنج ها و اطلاعات تماس آنها را دارد؟ آنها در آن کانال های ارتباطی درباره چه چیز دیگری صحبت می کنند؟ آنها می توانند به صورت محرمانه برای سانسور تراکنش ها، به عقب برگرداندن شبکه و یا هر چیز دیگری با هم تبانی کنند.
آناتولی یاکوونکو، مدیرعامل شرکت سولانا لبز، به طور مستقیم این ادعاها را رد نکرد. اما وی گفت که اعضای جامعه اتریوم نیز می توانند برای رفع یک باگ امنیتی مشابه با هم هماهنگ شوند.
اتریوم چیست؟ آموزش کامل اتریوم
یاکوونکو برای اثبات ادعای خود گفت که بیش از 70 درصد از اعتبارسنج های شبکه اتریوم نیز توسط صرافی های ارز رمزنگاری یا پلتفرم های استیکینگ (مانند لیدو) کنترل می شوند.
بنیاد سولانا و اعتبارسنج های شبکه در آگوست 2024 یک آسیب پذیری مهم دیگر را به صورت مخفیانه بر طرف کردند. دن آلبرت، مدیر اجرایی این بنیاد، در آن زمان گفت که توانایی هماهنگی برای رفع باگ به معنی متمرکز شدن سولانا نیست.
رد نگرانی متمرکز شدن اتریوم
رایان برکمنز، از اعضای جامعه اتریوم، ادعاهایی مبنی بر این که شبکه اتریوم نیز با مسئله تمرکزگرایی مشابه شبکه سولانا مواجه است را رد کرد و گفت که اتریوم از تنوع کافی در نرم افزارهای کلاینت برخوردار است.
برکمنز خاطر نشان کرد که گث (geth)، از محبوب ترین کلاینت های اتریوم، حدود 41 درصد از سهم بازار را در اختیار دارد. این در حالی است که شبکه سولانا فقط یک کلاینت آماده تولید به نام آگاو (Agave) دارد. وی افزود:
این بدان معناست که باگ های امنیتی در تنها کلاینت سولانا، باگ های بالفعل پروتکل هستند. اگر برنامه این کلاینت را تغییر دهید، در واقع خود پروتکل را تغییر داده اید. کلاینت خود پروتکل است.
البته، شبکه سولانا به دنبال راه اندازی یک کلاینت جدید به نام فایردنسر (Firedancer) در چند ماه آینده است. انتظار می رود که این کلاینت پس از راه اندازی، ثبات و پایداری شبکه سولانا را بهبود بخشد.
با این حال، برکمنز گفت که سولانا برای این که به اندازه کافی در سطح کلاینت غیرمتمرکز باشد، به سه کلاینت نیاز دارد.
نظرات بسته شده است.