Solana 基金会披露隐私**系统漏洞，资金安全

Solana 基金会近日披露了一个此前未知的安全漏洞，该漏洞存在于其以隐私为核心的**系统中。攻击者可能利用此漏洞**虚假的零知识证明 (ZKP)，从而未经授权地增发**或从账户中转移**。

据了解，该漏洞由 Anza 的 GitHub 安全咨询公司于 4 月 16 日**发现。Solana Developments Anza、Firedancer 和 Jito 的工程师团队迅速展开修复工作。

推广

币安交易所

新用户注册充值交易，享空投奖励 **交易比特币享7天价格保护 立即下载APP 扫描二维码下载官方应用，开启交易之旅 全球**交易平台 安全可信赖 500 交易对 99.9% 稳定性 投资需谨慎 | 广告

该漏洞源于 ZK Elgamal Proof 方案，该方案用于验证 Solana 的 Token-22 机密转移中使用的 ZKP。这些扩展令牌通过加密数量和使用加密证明来实现私人余额和转移。

零知识证明是一种加密技术，允许用户在**露信息本身的情况下，证明自己知道或能够访问某些信息。在加密应用中，ZKP 可以证明交易的有效性，而无需显示具体的金额或地址，从而避免恶意攻击。

该漏洞出现在菲亚特-沙米尔转换过程中，缺少了一些代数组件。菲亚特-沙米尔转换是一种使零知识证明非交互的标准方法，可将往返流程转变为**人都可以验证的一次性证明。

如果攻击者利用该漏洞，则可能**无效的证明，并被链验证者接受，从而进行未经授权的操作，例如增发**或从其他账户中转移**。

值得注意的是，该漏洞不影响标准的 SPL 令牌或主要的令牌-2022 程序逻辑。

从 4 月 17 日开始，Solana 团队私下向验证器运营商分发了补丁。当晚晚些时候，发布了第二个补丁，以解决代码库中其他地方的相关问题。第三方安全公司 Asymmetric Research、Neodyme 和 Ottersec 对这两个补丁进行了审查。到 4 月 18 日，验证者的超级贡献者已经采用了解决方案。

根据事后分析报告，目前没有迹象表明该漏洞被利用，所有资金仍然安全。