Fondazione Solana: Vulnerabilità potenziale individuata nel programma di prova ZK ElGamal, nessuna evidenza di sfruttamento, impatto limitato

Odaily Planet Daily – Secondo quanto riportato dal blog ufficiale della Solana Foundation, alcuni ricercatori di sicurezza hanno segnalato una potenziale vulnerabilità nel programma ZK ElGamal Proof alle parti interessate dell’ecosistema Solana. La segnalazione includeva una proof-of-concept (PoC) della vulnerabilità, ma al momento non ci sono prove che sia stata sfruttata.
Dopo una valutazione, è emerso che la vulnerabilità potrebbe consentire agli attaccanti di costruire prove arbitrarie e aggirare la verifica, influenzando i token confidenziali Token-2022 e permettendo azioni illecite come la creazione illimitata di token. Per rispondere tempestivamente, l’11 giugno i team coinvolti hanno aggiornato il programma Token-2022 upgradabile per disabilitare innanzitutto la funzione di trasferimento confidenziale. Il 13 giugno è stata inviata una richiesta di aggiornamento urgente sul canale Discord di Solana Tech, invitando gli operatori ad aggiornare il proprio software per disabilitare il programma ZK ElGamal proof. Il 19 giugno, all’inizio dell’epoch 805 della mainnet-beta, il programma è stato ufficialmente disabilitato tramite attivazione della funzione.
Attualmente, la funzione ZK ElGamal in Token-2022 è utilizzata principalmente da prodotti innovativi in fase di test. Sebbene le stablecoin più diffuse abbiano inizializzato i trasferimenti confidenziali, questa funzione non è stata resa disponibile agli utenti, con un utilizzo effettivo estremamente basso e un impatto limitato. Il programma verrà riattivato dopo il completamento degli audit e la risoluzione del problema, un processo che dovrebbe richiedere diversi mesi.