ارز دیجیتال
coindesk
coindesk
.

سولانا ضعف امنیتی در توکن‌های محرمانه Token-22 را برطرف کرد

توکن کرو دائوتوکن کرو دائو
شیبا اینوشیبا اینو
سانسان
الگورندالگورند
ثور چینثور چین
وی چینوی چین
فانتومفانتوم
آوهآوه
نیر پروتکلنیر پروتکل
یو اس دی کوینیو اس دی کوین
آوالانچآوالانچ
ترونترون
سولاناسولانا
چین لینکچین لینک
دوج کویندوج کوین
بایننس کوینبایننس کوین
تترتتر
اتریوماتریوم
بیت کوینبیت کوین
مفاهیم کلیدیمفاهیم کلیدی
  • آسیب‌پذیری ناشناخته در سیستم انتقال محرمانه Token-22 سولانا کشف شد
  • جعل اثبات‌های دانش صفر می‌توانست منجر به ضرب و سرقت توکن‌ها شود
  • وصله‌ها از ۱۷ تا ۱۸ آوریل به‌سرعت توزیع و توسط اکثریت اعتباردهنده‌ها اعمال شد

سولانا به‌طور پنهانی باگی را برطرف کرد که می‌توانست به مهاجمان امکان ضرب و سرقت توکن‌ها را بدهد

بنیاد سولانا آسیب‌پذیری پیش‌تر ناشناخته‌ای را در سیستم توکن‌های متمرکز بر حفظ حریم خصوصی خود افشا کرده است که می‌توانست به مهاجمان امکان جعل اثبات‌های جعلی دانش صفر را بدهد و به‌طور غیرمجاز توکن ضرب یا برداشت کنند.

این آسیب‌پذیری برای نخستین‌بار در ۱۶ آوریل از طریق اطلاعیه امنیتی Anza در GitHub گزارش شد که همراه با نمونه اثبات مفهومی عملی بود.

مهندسان تیم‌های توسعه سولانا یعنی Anza، Firedancer و Jito این باگ را تأیید کردند و بلافاصله شروع به رفع آن کردند، طبق گزارشی که روز شنبه منتشر شد.

مشکل از برنامه اثبات ZK ElGamal ناشی می‌شد که اثبات‌های دانش صفر (ZKP) استفاده‌شده در انتقال‌های محرمانه Token-22 سولانا را تأیید می‌کند.

این توکن‌های افزونه‌ای با رمزنگاری مقادیر و استفاده از اثبات‌های رمزنگاری‌شده امکان حفظ محرمانگی موجودی و انتقال‌ها را فراهم می‌کنند.

اثبات‌های دانش صفر روش رمزنگاری‌ای هستند که به فرد اجازه می‌دهند بدون افشای خودِ اطلاعات (مانند رمز عبور یا سن)، نشان دهند که به آن دسترسی دارند یا آن را می‌دانند.

در برنامه‌های رمزنگاری، این روش می‌تواند اعتبار یک تراکنش را بدون نمایش مقادیر یا آدرس‌های مشخص (که در غیر این صورت می‌توانند توسط بازیگران مخرب برای طراحی حملات استفاده شوند) اثبات کند.

این باگ به این دلیل رخ داد که برخی مولفه‌های جبری در فرآیند هشینگ حین تبدیل Fiat–Shamir — روشی استاندارد برای غیرمداخله‌ای کردن اثبات‌های دانش صفر — حذف شده بودند. (غیرمداخله‌ای یعنی تبدیل فرآیند رفت‌وبرگشتی به یک اثبات یک‌باره که هرکسی می‌تواند آن را تأیید کند.)

یک مهاجم کارکشته می‌توانست اثبات‌های نامعتبر جعل کند که توسط تأییدگر زنجیره‌ای پذیرفته می‌شدند. این موضوع می‌توانست اجازه اقدامات غیرمجاز مانند ضرب نامحدود توکن یا برداشت توکن از حساب‌های دیگر را بدهد.

به همین دلیل، این آسیب‌پذیری روی توکن‌های استاندارد SPL یا منطق اصلی برنامه Token-2022 تأثیری نداشت. وصله‌ها از ۱۷ آوریل به‌صورت خصوصی در اختیار اپراتورهای اعتباردهنده قرار گرفت.

یک وصله دوم همان شب برای رفع یک مشکل مرتبط در بخش دیگری از کد منتشر شد. هر دو وصله توسط شرکت‌های امنیتی ثالث Asymmetric Research، Neodyme و OtterSec بررسی شدند.

تا ۱۸ آوریل، اکثریت قاطع اعتباردهنده‌ها این اصلاحات را اعمال کرده بودند. طبق گزارش پس از اقدام (post-mortem)، هیچ نشانه‌ای از سوءاستفاده از این باگ وجود ندارد و تمامی وجوه امن باقی مانده‌اند.

شاوریا هم‌رهبر تیم توکن‌ها و داده‌های CoinDesk در آسیا است که بر مشتقات رمزنگاری، دیفای، ریزساختار بازار و تحلیل پروتکل متمرکز است.

او بیش از ۱۰۰۰ دلار در دارایی‌هایی مانند BTC، ETH، SOL، AVAX، SUSHI، CRV، NEAR، YFI، YFII، SHIB، DOGE، USDT، USDC، BNB، MANA، MLN، LINK، XMR، ALGO، VET، CAKE، AAVE، COMP، ROOK، TRX، SNX، RUNE، FTM، ZIL، KSM، ENJ، CKB، JOE، GHST، PERP، BTRFLY، OHM، BANANA، ROME، BURGER، SPIRIT و ORCA سرمایه‌گذاری کرده و بیش از ۱۰۰۰ دلار نقدینگی به استخرهای Compound، Curve، SushiSwap، PancakeSwap، BurgerSwap، Orca، AnySwap، SpiritSwap، Rook Protocol، Yearn Finance، Synthetix، Harvest، Redacted Cartel، OlympusDAO، Rome، Trader Joe و SUN اختصاص داده است.

لینک خبر
ترجمه شده توسط سعید محمد
XT.com
XT.com
آگهی