رفع بی‌سروصدای باگ سولانا برای جلوگیری از سرقت توکن‌ها

چکیده

بنیاد سولانا یک آسیب‌پذیری در سیستم توکن خود فاش کرد که می‌توانست به صدور غیرمجاز یا برداشت‌ها منجر شود.
این ضعف مربوط به برنامه ZK ElGamal Proof بود که تراکنش‌های محرمانه را تحت تأثیر قرار می‌داد، نه توکن‌های معمولی SPL.

آسیب‌پذیری جدید در سیستم توکن سولانا

بنیاد سولانا اخیراً از یک آسیب‌پذیری ناشناخته در سیستم توکن متمرکز بر حفظ حریم خصوصی خود پرده برداشته است. این نقص می‌توانست به مهاجمان امکان جعل اثبات‌های بدون دانش (zero-knowledge proofs) جعلی و صدور یا برداشت غیرمجاز توکن‌ها را بدهد.

این آسیب‌پذیری ابتدا در تاریخ ۲۷ فروردین از طریق مشاوره امنیتی GitHub از سوی تیم Anza گزارش شد. مهندسان تیم‌های توسعه سولانا، شامل Anza، Firedancer و Jito، این باگ را تأیید و بلافاصله شروع به رفع آن کردند.

منشأ آسیب‌پذیری

مسئله از برنامه ZK ElGamal Proof نشأت گرفته بود که اثبات‌های بدون دانش را در انتقالات محرمانه توکن‌های سولانا تأیید می‌کرد. این توکن‌ها با رمزگذاری مقادیر و استفاده از اثبات‌های رمزنگاری، بالانس‌ها و انتقالات خصوصی را امکان‌پذیر می‌سازند.

اثبات‌های بدون دانش (ZKPs) روشی رمزنگاری هستند که به افراد اجازه می‌دهند بدون افشای اطلاعات محرمانه، مانند رمز عبور یا سن، اثبات کنند که به آن اطلاعات دسترسی دارند.

در برنامه‌های رمزنگاری، این روش می‌تواند برای اثبات صحت تراکنش‌ها بدون نمایش مقادیر یا آدرس‌های خاص استفاده شود.

جزئیات فنی مشکل

این باگ به دلیل عدم وجود برخی از اجزای جبری در فرآیند هش در طی تبدیل فیات-شامیر رخ داده بود، که روشی استاندارد برای غیرتعاملی کردن اثبات‌های بدون دانش است. این مفهوم به معنای تبدیل یک فرآیند چندمرحله‌ای به اثباتی است که هر کسی می‌تواند آن را تأیید کند.

یک مهاجم پیچیده می‌توانست اثبات‌های نامعتبر را جعل کند که توسط تأییدکننده زنجیره‌ای همچنان پذیرفته می‌شد.

این امر می‌توانست به اقدامات غیرمجاز مانند صدور نامحدود توکن‌ها یا برداشت توکن‌ها از حساب‌های دیگر منجر شود.

این آسیب‌پذیری بر توکن‌های معمولی SPL یا منطق اصلی برنامه Token-2022 تأثیری نداشت.

اقدامات برای رفع باگ

پچ‌ها به صورت خصوصی از ۲۸ فروردین در اختیار اپراتورهای اعتبارسنج قرار گرفتند. در همان شب، پچ دیگری برای رفع مشکل مرتبط دیگری در کد اعمال شد.

هر دو پچ توسط شرکت‌های امنیتی ثالث Asymmetric Research، Neodyme و OtterSec بررسی شدند. تا ۲۹ فروردین، اکثریت اعتبارسنج‌ها این اصلاحات را پذیرفته بودند.

به گفته گزارش‌های ارائه‌شده، هیچ نشانه‌ای از سوءاستفاده از این باگ وجود ندارد و تمامی وجوه نیز امن باقی مانده‌اند.

Photo of Federal Reserve Chair Jerome Powell

اخبار ارز دیجیتال

صعود بیت‌کوین با اظهارات پاول درباره رکود تورمی متوقف شد

تحریریه نوین‌ترند ۲۷ فروردین ۱۴۰۴

بیت‌کوین به‌دنبال هشدارهای جروم پاول، رئیس فدرال رزرو، درباره تأثیرات سیاست تعرفه‌ای ترامپ و نگرانی از رکود تورمی، افت کرد. افت مشابهی در بورس نیز مشاهده شد.

Coinbase app opening screen on mobile phone (appshunter.io/Unsplash)

اخبار ارز دیجیتال

سه کیف پول پیش از اعلام رسمی توکن‌های «Base برای همه» را خریدند و ۶۶۶ هزار دلار سود کردند

تحریریه نوین‌ترند ۲۸ فروردین ۱۴۰۴

سه کیف پول پیش از اعلام رسمی توکن «Base برای همه» توسط جسی، خالق آن، این توکن را خریداری کرده و ۶۶۶ هزار دلار سود به دست آوردند.

9am CoinDesk 20 Update for 2025-05-05: leaders chart

اخبار ارز دیجیتال

به‌روزرسانی عملکرد CoinDesk 20: افت ۷.۴ درصدی NEAR در آخر هفته

تحریریه نوین‌ترند ۱۵ اردیبهشت ۱۴۰۴

در آخر هفته گذشته، ارز دیجیتال NEAR با افت ۷.۴ درصدی مواجه شد. این کاهش قیمت در CoinDesk 20 به‌صورت رسمی ثبت شده و عملکرد این ارز را با چالش مواجه کرده است. این نوسانات نشان‌دهنده تأثیر پذیرش بازار بر قیمت ارزهای دیجیتال است.

U.S. President Donald Trump. (Stephen Lovekin/Getty)

اخبار ارز دیجیتال

شام با رئیس‌جمهور آمریکا؟ فقط ۴۲۰ دلار TRUMP نیاز دارید!

تحریریه نوین‌ترند ۵ اردیبهشت ۱۴۰۴

تیم توکن TRUMP اعلام کرده که ۲۲۰ نفر از دارندگان برتر این رمزارز با حداقل ۴۲۰ دلار می‌توانند با دونالد ترامپ شام بخورند. ارزش TRUMP این هفته ۷۰ درصد افزایش یافته و به حدود ۱۲ دلار رسیده است. قفل توکن‌ها برای ۹۰ روز باز نخواهد شد تا بر مسابقه تأثیری نگذارد.

اخبار ارز دیجیتال

تحریم وزارت خزانه‌داری آمریکا علیه گروه شبه‌نظامی برمه‌ای متهم به کلاهبرداری “قصابی خوک”

تحریریه نوین‌ترند ۱۵ اردیبهشت ۱۴۰۴

وزارت خزانه‌داری آمریکا تحریم‌هایی علیه یک گروه شبه‌نظامی برمه‌ای اعمال کرده که به رهبری یک سازمان پیچیده کلاهبرداری سایبری و سرقت ارز دیجیتال از شهروندان آمریکایی متهم است. این گروه به اجرای عملیات “قصابی خوک” در مقیاس وسیع متهم شده است.

Canadian prime minister candidate Pierre Poilievre speaks into a microphone at an external event at night.

اخبار ارز دیجیتال

تثبیت قیمت بیت‌کوین پس از شکست نامزد حامی کریپتو در کانادا

تحریریه نوین‌ترند ۹ اردیبهشت ۱۴۰۴

پس از شکست نامزد حامی کریپتو در انتخابات کانادا، قیمت بیت‌کوین تثبیت شد. همزمان، تحولات مهمی در دنیای ارزهای دیجیتال در جریان است؛ از جمله عرضه ETFهای جدیدی برای XRP توسط ProShares و راه‌اندازی لایه-۱ بلاکچین Hippo Protocol. همچنین، به‌روزرسانی‌های مهمی در شبکه‌های Gnosis، Constellation و THORChain در حال اجرا است. در حوزه اقتصاد کلان، داده‌های اقتصادی از کشورهای مختلف شامل آمریکا، برزیل و مکزیک منتشر شده که تصویری از وضعیت اقتصادی کنونی ارائه می‌دهد.

آسیب‌پذیری جدید در سیستم توکن سولانا

منشأ آسیب‌پذیری

جزئیات فنی مشکل

اقدامات برای رفع باگ

نوشته‌های مشابه

دیدگاهتان را بنویسید لغو پاسخ