توسعه‌دهندگان سولانا باگ بی‌نظمی در ضرب نامحدود توکن‌ها را برطرف کردند

The Solana Foundation یک آسیب‌پذیری صفر روز را تأیید کرده است که به یک مهاجم اجازه می‌دهد تا توکن‌های خاصی را استخراج کرده و حتی این توکن‌ها را از حساب‌های کاربری کاربران برداشت کند.

### آسیب‌پذیری امنیتی Solana و تأثیر آن بر توکن‌های خصوصی Token-22
در یک گزارش منتشر شده در 3 مه، بنیاد Solana اعلام کرد که این آسیب‌پذیری امنیتی که برای اولین بار در 16 آوریل شناسایی شد، می‌توانست به مهاجمی اجازه دهد تا یک مدارک نادرست ایجاد کند که بر روی «توکن‌های محرمانه Token-22» تأثیر می‌گذارد.

### جزئیات فنی آسیب‌پذیری
بنیاد Solana اشاره دارد که این آسیب‌پذیری مربوط به دو برنامه است: Token-2022 و ZK ElGamal Proof. Token-2022 منطق اصلی برنامه برای استخراج و حساب‌های توکن را مدیریت می‌کند، در حالی که ZK ElGamal Proof صحت مدرک‌های صفر-شناخت را برای نمایش تعادل دقیق حساب‌ها تأیید می‌کند.

بنیاد بیان کرده است که برخی از اجزای جبری از هش در تولید ترانسکریپت تبدیل Fiat-Shamir حذف شده است. این نقص می‌توانست به یک مهاجم اجازه دهد افزونه‌های بدون هش را مورد سوءاستفاده قرار دهد و مدرکی جعلی ایجاد کند که تأیید را کسب کند و توکن‌های محرمانه Token-22 را استخراج کند.

### پیگیری و اصلاح
بنیاد Solana تأیید کرد که هیچ سوءاستفاده‌ای از این آسیب‌پذیری صورت نگرفته و اعتبارسنج‌های Solana نسخه‌های اصلاح‌شده را به‌کار گرفته‌اند. این اصلاحات به سرعت انجام شده و اکثریت بزرگ اعتبارسنج‌ها این اصلاحات را پذیرفته‌اند.

شرکت‌های توسعه Solana شامل Anza، Firedancer و Jito از جمله افرادی بودند که در اصلاح امنیتی همکاری کردند.

### نگرانی‌های مرتبط با تمرکز
با وجود اصلاح انجام‌شده، نحوه مدیریت خصوصی این مشکل توسط بنیاد Solana باعث نگرانی‌هایی در مورد تمرکز در جوامع رمزنگاری شده است. برخی افراد در جامعه به رابطه نزدیک بنیاد با اعتبارسنج‌های Solana اشاره کرده و این نگرانی را مطرح کرده‌اند که این گروه‌ها می‌توانند به‌طور بالقوه در مورد سانسور تراکنش‌ها همکاری کنند.

### انتقاد از تکمیل آسیب‌پذیری‌ها
اعضای جامعه Ethereum، مانند Ryan Berckmans، به انتقاد از ادعاهایی پرداختند که Ethereum تحت همان مشکلات تمرکز قرار دارد. وی اشاره کرد که Ethereum تنوع کافی در کلاینت‌ها دارد و مزایای خود را نسبت به Solana بیان کرد.

### پیشرفت‌های آتی Solana
در حالی که Solana در حال برنامه‌ریزی برای عرضه یک کلاینت جدید به نام Firedancer در چند ماه آینده است، برکمنز یادآور شد که برای کافی بودن از نظر تمرکززدایی در سطح کلاینت، Solana به حداقل سه کلاینت نیاز دارد.

—

### فهرست عناوین
– آسیب‌پذیری امنیتی Solana و تأثیر آن بر توکن‌های خصوصی Token-22
– جزئیات فنی آسیب‌پذیری
– پیگیری و اصلاح
– نگرانی‌های مرتبط با تمرکز
– انتقاد از تکمیل آسیب‌پذیری‌ها
– پیشرفت‌های آتی Solana

### متن‌های جعبه‌ای یا جلب توجه
– “بنیاد Solana تأیید کرد که هیچ سوءاستفاده‌ای از این آسیب‌پذیری صورت نگرفته است.”
– “چندین پارتی در اصلاح امنیتی همکاری کردند.”
– “Ryan Berckmans اشاره کرد که Ethereum تنوع کافی دارد.”