سولانا تُصلح ثغرة أمنية في الرمز السري، وتُثير جدلاً حول المركزية

• قامت مؤسسة سولانا بإصلاح خلل في Token-2022 وZK ElGamal Proof، والذي كان من الممكن أن يسمح بسكّ غير مصرح به.
• بسبب هذا الخلل، كان بإمكان المهاجمين استهداف المكونات غير المجزأة عن طريق إنشاء هوية مزيفة تجتاز عملية التحقق بسهولة.

واجهت مؤسسة سولانا مؤخرًا ثغرة أمنية سمحت للمخترقين بسك بعض الرموز، بل وحتى الاستيلاء عليها من حسابات المستخدمين. ومع ذلك، أفادت التقارير بإصلاح هذه الثغرة.

يكشف تحليل المؤسسة أن الثغرة الأمنية اكتُشفت لأول مرة في 16 أبريل، وكان من الممكن أن تسمح للمخترقين باستخدام إثبات غير صالح يؤثر على خصوصية منصة بلوكتشين، مما يسمح برموز Token-22 السرية.

كما ذكرت المؤسسة أنه لم يتم الإبلاغ عن أي استغلال معروف للثغرة، ومنذ ذلك الحين، اعتمد مدققو Solana الإصدار المُصحّح. وقد أزعجت هذه الثغرة الأمنية بشكل رئيسي برنامجين، Token-2022 وZK ElGamal Proof.

يتولى Token-2022 مسؤولية إدارة منطق التطبيق الرئيسي لعمليات سكّ الرموز والحسابات. من ناحية أخرى، تحقّق ZK ElGamal Proof من دقة إثباتات المعرفة الصفرية لإظهار أرصدة الحسابات بدقة.

وفقًا للأساس، تمت إزالة بعض المكونات الجبرية من التجزئة في عملية توليد نصوص تحويل فيات-شامير، والتي تُحدّد إنشاء عشوائية عامة باستخدام دالة تجزئة تشفيرية.

بسبب هذا الخلل، كان بإمكان المهاجمين استهداف المكونات غير المجزأة عن طريق إنشاء هوية مزيفة تُمرّر عملية التحقق بسهولة إلى Mint وسرقة رموز Token-22 السرية. لحل هذه المشكلة الرئيسية، تم إصدار تصحيحين.

التدقيق في المركزية

اعتمد العديد من مدققي سولانا، بما في ذلك Anza وFiredancer وJit,o، التحديثات بعد يومين من مواجهة المشكلة. كما ساهمت شركات أخرى مثل Asymmetric Research وNeodyme وOtterSec في تسهيلها.

وأشارت المؤسسة أيضًا إلى عدم التلاعب بأي أموال، وأن الوضع آمن حتى الآن. على الرغم من ذلك، أثار المدققون مخاوف بشأن المركزية داخل مجتمع العملات المشفرة. وكان أحد هؤلاء المدققين مساهمًا في Curve Finance، والذي أعرب عن قلقه بشأن العلاقة الوثيقة بين المؤسسة ومدققي سولانا.

وأشارت المؤسسة إلى أن المشكلة الرئيسية تكمن في أن كل شيء كان يتم بشكل خاص، وأن الجهات الفاعلة السيئة تعلم بالفعل بوجود هذه القنوات، وأن هذه نقطة ضعف مركزية في نظام لامركزي.