Solana Patchers Bug可能会允许攻击者铸造和滑动令牌

索拉纳网络验证者狭窄地避免了灾难，推出了一个杀死程序中的错误的补丁程序，该贴片本可以允许剥削者以无限量的数量造成某些令牌，或者从任何帐户中撤回它们。 

在ZK Elgamal Proof计划中发现了该漏洞，该漏洞只会影响令牌-22机密令牌，该计划证明了加密余额并验证了零知识证明的准确性。 

“在链接ZK Elgamal证明程序中，用于生成Fiat-Shamir Transformation的成绩单的哈希中未包括一些代数组件，”索拉纳Foundation阅读。 “一个复杂的攻击者可以使用这些未经压力的组件来开发未经授权的动作的伪造证明。”

换句话说，剥削者本可以使用伪造的证据将无限量的令牌-22机密令牌或从帐户中撤回。 

潜在的漏洞首先于4月16日报告给ANZA GITHUB安全咨询咨询，并在评估和确认Anza，Firedancer和Jito的工程师后的第二天直接向验证器推出了补丁。

Anza是一家由前Solana Labs员工组成的Solana Development商店，而Jito是生态系统中著名的基础设施公司。 Firedancer是从Jump Crypto开发的Solana验证器客户端。

安全公司不对称研究，Neodyme和Ottersec也被吸引以提供支持并审查补丁。 

到4月18日下午，验证器运营商的超级杂志采用了修复程序，其中包括第二个补丁，用于解决代码库另一部分中类似问题的修复程序。现在采用了一个补丁，没有资金有风险，也没有发现已知的漏洞利用。

尽管该补丁很快就解决了，众所周知，索拉纳基金会在社交媒体上面临一些批评。一些用户召集了幕后升级，该升级是在基金会通过邮政验证公开介绍的两周前进行的。 

“我听到这句话了吗？索拉纳主网上有零日，> 70％的验证者私下合谋以升级和修补关键错误，甚至在公开公开之前。”在X上发布了一个假名以太坊生态系统开发人员（以前是Twitter）。

该帖子在此过程中从著名的Solana Devs和Solana联合创始人Anatoly Yakovenko中引起了推翻。即使是长期以太坊的开发商哈德逊·詹姆森（Hudson Jameson）也参与其中，称这种方法是典型的，并且是解决问题所必需的。

“这完全很好。”詹姆森说在X上。”比特币, ZCASH， 和以太坊所有人都有核心开发人员需要私下计划秘密错误修复的情况。良好的连锁文化意味着拥有可以完成隐身修复的成熟开发人员。”

“在公开发布之前，我参与了将此补丁分发给验证者。”蒂姆·加西亚（Tim Garcia）说，索拉纳基金会的验证者关系领导。 “我很高兴听到有关一个更好的过程的建议。不幸的是，在足够的采用之前，在公共场合进行分发是不开始的。”

这几乎不是索拉纳第一次面临集中批评。值得注意的是，去年10月，著名的举报人爱德华·斯诺登（Edward Snowden）召集了1层区块链超过集中化。 Solana生态系统领导者推迟了Yakovenko说，“像往常一样，Solana仅通过客观测量的指标分散，并集中在所有其他指标中。”

Solana 目前拥有1,279个验证器，根据其网站。 

编辑安德鲁·海沃德（Andrew Hayward）