توسعه‌دهندگان مشکل جدی سولانا را حل کردند.

توسعه‌دهندگان و تأییدکنندگان شبکه سولانا توانستند یک آسیب‌پذیری جدی را به سرعت برطرف کنند. این نقص می‌توانست امکان ایجاد نامحدود توکن‌های خاصی را به‌وجود آورد. اگرچه هیچ حمله‌ای ثبت نشده است، اما نحوه مدیریت این مشکل باعث ایجاد انتقادات تازه‌ای درباره تمرکزگرایی شبکه شد.

جزئیات فنی باگ امنیتی چه بود؟

در گزارشی که بنیاد سولانا در تاریخ ۳ مه منتشر کرد، تأیید شد که این آسیب‌پذیری روز صفر (Zero-day) به مهاجم احتمالی اجازه می‌داد توکن‌های خاصی به نام Token-22 را ضرب (mint) کرده و حتی از حساب‌های کاربران خارج کند.

این آسیب‌پذیری به دو مؤلفه اصلی مرتبط بود:

• Token-2022: برنامه‌ای که منطق ایجاد و مدیریت توکن‌ها را در سولانا کنترل می‌کند.

• ZK ElGamal Proof: ابزاری برای راستی‌آزمایی اثبات‌های صفر دانشی برای نمایش موجودی‌های صحیح.

در فرایند تولید رونوشت تبدیل فیات-شمیر (Fiat-Shamir Transformation)، برخی اجزای جبری ضروری در هش نهایی دخیل نبودند. این یک روش رمزنگاری است که در سیستم‌های بلاک چین و پروتکل‌های اثبات (مانند اثبات دانش صفر) به کار می‌رود. این نادیده‌گیری به مهاجم اجازه می‌داد تا اثبات جعلی ساخته و توکن‌ها را به‌طور غیرقانونی دریافت کند.

چه اقداماتی انجام شد؟

• نقص امنیتی در تاریخ ۱۶ آوریل شناسایی شد.

• در کمتر از ۴۸ ساعت، دو پچ امنیتی منتشر گردید.

• اکثریت تأییدکنندگان سولانا، نسخه پچ‌شده را پذیرفتند.

• شرکت‌های Anza، Firedancer، Jito، و تیم‌های امنیتی Asymmetric Research، Neodyme و OtterSec در رفع این مشکل همکاری کردند.

• بنیاد سولانا تأیید کرده که هیچ دارایی‌ای به سرقت نرفته است.

چرا این باگ باعث نگرانی شد؟

اگرچه مشکل به‌سرعت برطرف شد، اما نحوه مدیریت آن (در تعامل مستقیم و بدون اطلاع‌رسانی عمومی با تأییدکنندگان) باعث بروز نگرانی‌هایی در مورد تمرکز شبکه شد.

یکی از اعضای پروژه Curve Finance مطرح کرد:

چرا یک نهاد به تمامی تأییدکنندگان و اطلاعات تماس آن‌ها دسترسی دارد؟ در این کانال‌ها چه اطلاعات دیگری رد و بدل می‌شود؟

این موضوع نگرانی از امکان سانسور تراکنش‌ها یا حتی بازگردانی زنجیره (rollback) را به وجود آورد.

واکنش‌ها: سولانا در مقابل اتریوم

آنتولی یاکوونکو، مدیرعامل سولانا لبز، بیان کرد که این مشکل در اتریوم هم ممکن است، زیرا:

۷۰ درصد از تأییدکنندگان اتریوم به وسیله نهادهایی مانند Lido، بایننس، کوین‌بیس و کراکن کنترل می‌شوند.

در پاسخ، رایان برکمنز از جامعه اتریوم اظهار داشت:

در اتریوم تنوع کلاینت وجود دارد، اما در سولانا فقط یک کلاینت موجود است؛ یعنی باگ در این کلاینت به معنای باگ در کل پروتکل است.

گام بعدی سولانا چیست؟

کلاینت جدید Firedancer قرار است در ماه‌های آینده عرضه شود و پایداری و تمرکززدایی شبکه را افزایش دهد. اما منتقدان مطرح می‌کنند که برای دستیابی به سطح مطلوب تمرکززدایی، حداقل سه کلاینت فعال نیاز است.

جمع‌بندی

در حالی که سولانا توانست یک تهدید جدی را بدون آسیب پشت‌سر بگذارد، بررسی‌ها همچنان درباره شبکه ادامه دارد. سوالاتی نظیر چه کسی تصمیم گیر نهایی است؟ و آیا واقعاً غیرمتمرکز است؟ اکنون بیشتر از همیشه مطرح شده‌اند. در دنیای بلاک چین، اعتماد تنها از شفافیت و تنوع ناشی می‌شود؛ نه صرفاً از سرعت عمل.