索拉纳基金会披露了其隐私专注的代币系统中一个之前未知的漏洞，该漏洞可能允许攻击者伪造虚假的零知识证明，从而实现未经授权的代币铸造或提取。

该漏洞首次在4月16日通过Anza的GitHub安全公告报告，并附有一个有效的概念验证。索拉纳开发团队Anza、Firedancer和Jito的工程师验证了该漏洞，并立即开始着手修复，具体情况在周六发布的事后分析中说明。

问题源于ZK ElGamal证明程序，该程序验证在索拉纳的Token-22机密转账中使用的零知识证明（ZKP）。这些扩展代币通过加密金额并使用密码学证明来验证，从而实现私密余额和转账。

ZKP是一种密码学方法，允许某人证明他们知道或可以访问某些东西，例如密码或年龄，而无需透露该事物本身。

在加密应用中，这些可以用来证明交易是有效的，而无需显示具体的金额或地址（否则可能被恶意行为者用来策划攻击）。

该漏洞的发生是因为在Fiat-Shamir变换过程中，哈希处理缺少了一些代数组件——这是一种将零知识证明变为非交互式的标准方法。（非交互式意味着将一个来回的过程转变为任何人都可以验证的一次性证明。）

一个复杂的攻击者可以伪造无效的证明，而链上验证者仍会接受这些证明。

这将允许未经授权的操作，例如铸造无限代币或从其他账户提取代币。

因此，该漏洞并未影响标准SPL代币或主要的Token-2022程序逻辑。

从4月17日开始，修补程序私下分发给验证者操作员。当天晚上，第二个修补程序被推送，以解决代码库中其他地方的相关问题。

这两个修补程序均经过第三方安全公司Asymmetric Research、Neodyme和OtterSec的审查。到4月18日，绝大多数验证者已采用该修复。

根据事后分析，没有迹象表明该漏洞被利用，所有资金仍然安全。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。