A organização Solana Foundation tornou público no sábado (2) o documento referente a uma fragilidade previamente não identificada em sua estrutura de tokens. A brecha possibilitaria, por exemplo, que um invasor habilidoso fabricasse demonstrações de conhecimento zero (ZKPs) que seriam validadas pelo verificador on-chain.
Isso abriria portas para atividades não autorizadas, como a criação ilimitada de tokens ou a transferência indevida de fundos de outras contas. A descoberta da vulnerabilidade aconteceu inicialmente em 16 de abril por meio do sistema de alerta de segurança da Anza no GitHub, apresentando também uma evidência de conceito operacional.
“Um possível ponto fraco foi identificado de maneira ética, permitindo a um intruso gerar uma prova inválida e que fosse aceita pelo programa de Verificação ZK ElGamal. O programa ZK ElGamal Proof foi corrigido e a atualização foi adotada pelos operadores de validação da Solana. Não há registros de exploração conhecida desse problema”, descreve o comunicado.
A falha teve origem no programa ZK ElGamal Proof, que é responsável pela verificação das ZKPs empregadas nas transações confidenciais do programa Token-22 da Solana. Em outros termos, o defeito ocorreu devido à ausência de certos elementos algébricos no processo de hashing durante a transformação Fiat-Shamir — uma técnica convencional para tornar as ZKPs não interativas.
O termo não interativo, conforme explicado por uma postagem do CoinDesk, significa converter um procedimento bidirecional em uma única prova que qualquer pessoa pode verificar. Entretanto, a vulnerabilidade não teve impacto nos tokens SPL convencionais nem na essência primordial do programa Token-2022.
Resolução da falha no sistema da Solana
Engenheiros das equipes de desenvolvimento da Solana, Anza, Firedancer e Jito, identificaram a falha e imediatamente iniciaram o processo de correção com os devidos ajustes.
Os ajustes foram fornecidos de forma privada aos operadores de validação a partir de 17 de abril. Uma segunda correção foi disponibilizada posteriormente naquela mesma noite para lidar com uma questão relacionada em outra parte do código-fonte. Ambas as correções foram revisadas pelas empresas de segurança terceirizadas Asymmetric Research, Neodyme e OtterSec. Até 18 de abril, a ampla maioria dos validadores havia implementado a solução.
Não há evidências de exploração do defeito, garantindo a segurança dos recursos conforme relatado.
No momento, a rede Solana se destaca como a segunda maior em valor total bloqueado, com US$ 7,7 bilhões em tokens bloqueados, e um volume de US$ 2,6 bilhões nas últimas 24 horas, de acordo com informações do Coingecko. Seu token, SOL, ocupa a sexta posição em capitalização, com um mercado avaliado em US$75 bilhões.
📲 Receba nosso conteúdo Grátis!
Entre no canal e receba nossos conteúdos assim que forem publicados. Sem spam. Só conteúdo que importa para te manter informado.
