吴说获悉，Solana 基金会披露 ZK ElGamal Proof 原生程序出现第二个零知识验证漏洞。安全研究员 suneal_eth 于 6 月 10 日报告漏洞，工程团队确认可伪造隐私转账证明，并于 6 月 11 日通过多签升级 Token-2022 程序，直接禁用 Confidential Transfers（隐私功能转账）。随后官方紧急呼吁验证节点升级 Agave / Jito-Solana v2.2.16 或 Firedancer v0.505.20216，并在主网 epoch 805（UTC 6 月 19 日 06:00）激活特性开关，彻底关闭 ZK ElGamal 程序，以待全面审计。官方强调链上尚无隐私转账规模化使用，暂无资金受损记录。据了解，这是继 4 月 16 日首个 ZK ElGamal 漏洞（已在 v2.1.21 / v2.2.11 热修后解决）后，同一程序发生的第二起 Fiat-Shamir 哈希字段遗漏问题。基金会表示，重新启用隐私转账至少需“数月”，待审计完成并发布安全版程序后，经治理流程再行激活。常规 SPL 代币和普通交易不受影响。https://www.wublock123.com/index.php?m=content&c=index&a=show&catid=6&id=44653