Solana corrigiu uma vulnerabilidade que poderia permitir que invasores cunhassem e roubassem tokens indefinidamente

De acordo com um relatório da Jinse Finance, validadores na rede Solana evitaram com sucesso um potencial desastre ao implementar um patch para corrigir uma vulnerabilidade em um programa. Se explorada, a vulnerabilidade poderia ter permitido que atacantes cunhassem certos tokens indefinidamente ou os retirassem de qualquer conta. Esta vulnerabilidade afetava apenas os tokens confidenciais Token-22, com o problema residindo no programa de prova ZK ElGamal, que é usado para verificar saldos criptografados e garantir a precisão das provas de conhecimento zero. De acordo com um relatório pós-morte da Solana Foundation, alguns componentes de array no programa de prova ZK ElGamal on-chain não foram incluídos no hash usado para gerar a transformação Fiat-Shamir. Atacantes sofisticados poderiam explorar esses componentes não hashados para desenvolver provas forjadas, executando assim operações não autorizadas através da verificação.