بنیاد سولانا اخیراً یک آسیبپذیری امنیتی جدی را در سیستم انتقال محرمانه توکنهای خود شناسایی و بهصورت بیسروصدا برطرف کرده است. این باگ میتوانست به مهاجمان امکان دهد تا توکنهای خاصی را بهصورت غیرمجاز ایجاد کرده یا از حسابهای دیگر برداشت کنند.
این نقص امنیتی در برنامه ZK ElGamal Proof، که برای تأیید اثباتهای دانش صفر در انتقالهای محرمانه توکنهای Token-22 استفاده میشود، وجود داشت. مهاجمان میتوانستند با جعل اثباتهای نامعتبر، سیستم تأیید درونزنجیرهای را فریب دهند و اقدامات غیرمجاز مانند ایجاد نامحدود توکنها یا برداشت از حسابهای دیگر را انجام دهند.
این آسیبپذیری برای اولینبار در ۱۶ آوریل از طریق مشاوره امنیتی GitHub شرکت Anza گزارش شد و همراه با یک اثبات مفهومی عملی ارائه گردید. تیمهای توسعهدهنده سولانا، از جمله Anza،Firedancer و Jito بلافاصله به بررسی و اصلاح این باگ پرداختند. بنیاد سولانا در گزارشی که در ۳ مه منتشر شد، اعلام کرد که این نقص امنیتی بهطور کامل برطرف شده است.
شایان ذکر است که این آسیبپذیری فقط توکنهای Token-22 را تحت تأثیر قرار داده و توکنهای استاندارد SPL از این نقص مصون بودهاند. این رویداد بار دیگر اهمیت نظارت مستمر و بهروزرسانیهای امنیتی در پروژههای بلاکچینی را یادآور میشود.
