Solana 网络验证者险些遭遇灾难，推出了一个补丁，修复了一个程序中的漏洞，该漏洞可能允许攻击者以无限数量铸造某些代币或从任何账户中提取它们。

该漏洞仅会影响 Token-22 机密代币，发现于 ZK ElGamal 证明程序中，该程序用于认证加密余额并验证零知识证明的准确性。

“在链上的 ZK ElGamal 证明程序中，一些代数组件未包含在用于生成 Fiat-Shamir 转换的哈希中，”Solana 基金会的事后报告中写道。“一个复杂的攻击者可以利用这些未哈希的组件开发出通过验证的伪造证明，证明未经授权的操作。”

换句话说，攻击者可以利用伪造的证明铸造无限数量的 Token-22 机密代币或从账户中提取它们。

潜在的漏洞首次于 4 月 16 日报告给 Anza Github 安全顾问，经过评估和 Anza、Firedancer 和 Jito 的工程师确认漏洞后，第二天直接向验证者推出了补丁。

Anza 是一个由前 Solana Labs 员工组成的 Solana 开发团队，而 Jito 是生态系统中著名的基础设施公司。Firedancer 是 Jump Crypto 开发中的 Solana 验证者客户端。

安全公司 Asymmetric Research、Neodyme 和 OtterSec 也被邀请提供支持并审查补丁。

到 4 月 18 日下午，绝大多数验证者运营商采用了修复方案，其中包括用于解决代码库中另一个部分类似问题的第二个补丁。现在已采用补丁，资金没有风险，且尚未发现已知的漏洞利用。

尽管补丁迅速得到解决且没有已知资金被利用，Solana 基金会在社交媒体上面临一些批评。一些用户指出了这一幕后升级，该升级发生在基金会通过事后报告公开处理之前的两周。

“我听得对吗？Solana 主网出现了零日漏洞，>70% 的验证者私下勾结以升级和修补关键漏洞，甚至在公开之前，”一位匿名的以太坊生态开发者在 X 上发布（前身为 Twitter）。

这条帖子引发了著名 Solana 开发者和 Solana 联合创始人 Anatoly Yakovenko 的反驳。甚至长期的以太坊开发者 Hudson Jameson 也发表了看法，称这种做法是典型且必要的，以解决问题。

“这完全没问题，”Jameson 在 X 上说。“比特币、Zcash 和 以太坊 都曾出现核心开发者需要私下计划秘密修复漏洞的情况。良好的链文化意味着拥有成熟的开发者能够完成隐秘修复。”

“在公开发布之前，我参与了将此补丁分发给验证者的工作，”Solana 基金会的验证者关系负责人 Tim Garcia 说。“我很高兴听到关于更好流程的建议。不幸的是，在足够采用之前公开分发是不可行的。”

这并不是 Solana 第一次面临中心化的批评；值得注意的是，去年十月，著名举报人爱德华·斯诺登就曾因中心化问题而批评这条 第一层区块链。Solana 生态系统的领导者们对此进行了反击，雅科文科表示：“像往常一样，Solana 仅在客观可测量的指标上是去中心化的，而在其他所有指标上都是中心化的。”

根据其网站，Solana 目前拥有 1,279 个验证者。

编辑：安德鲁·海沃德

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。