Solana Foundation ออกมาเผยรายละเอียดการปิดช่องโหว่ร้ายแรงบนเครือข่าย Solana หลังจากพบว่าโปรแกรมยืนยันธุรกรรมแบบลับ (Confidential Transfers) ภายใต้มาตรฐาน Token-2022 มีข้อบกพร่องระดับ Zero-Day ซึ่งอาจเปิดโอกาสให้แฮกเกอร์ สร้างเหรียญได้ไม่จำกัด หรือขโมยโทเคนจากกระเป๋าใครก็ได้ ด้วยการปลอมแปลงข้อมูลแบบ Zero-Knowledge Proof
ตามรายงาน "post-mortem" ของ Solana Foundation ช่องโหว่นี้ถูกค้นพบเมื่อวันที่ 16 เมษายน และถูกแก้ไขเรียบร้อยในอีก 2 วันถัดมา ผ่านการอัปเดตเครือข่ายแบบลับ ๆ โดยได้รับความร่วมมือจากผู้ตรวจสอบเครือข่าย (validators) ส่วนใหญ่ ซึ่งได้รับการประสานงานเป็นการส่วนตัวจาก Foundation โดยไม่ได้เปิดเผยต่อสาธารณะในทันที เพื่อหลีกเลี่ยงความเสี่ยงก่อนที่แพตช์จะแพร่กระจายครบ
ช่องโหว่เกิดในระบบอะไร?
- ปัญหาเกิดจาก ZK ElGamal Proof Program ซึ่งทำหน้าที่ตรวจสอบความถูกต้องของ Zero-Knowledge Proof
- ฟีเจอร์นี้ใช้กับระบบ Confidential Transfers ที่เปิดตัวตั้งแต่ตุลาคม 2023 บนมาตรฐาน Token-2022
- ถึงแม้จะเปิดใช้งานแล้ว แต่ยังไม่มีการนำไปใช้จริงในวงกว้าง
บางรายงานกล่าวว่า Stablecoin USDP ของ Paxos ใช้ฟีเจอร์นี้ด้วย แต่ทาง Paxos ได้ออกมาปฏิเสธชัดเจนว่า
“ปัจจุบันเราไม่ได้เปิดใช้งาน Confidential Transfers กับเหรียญที่เราสร้างแต่อย่างใด ดังนั้นบั๊กนี้จึงไม่ส่งผลกระทบต่อผลิตภัณฑ์ของเรา”
ไม่พบการโจมตี – แต่ยังไม่มีคำตอบว่าใครแจ้งบั๊ก
Solana Foundation ยืนยันว่า
“ไม่มีเงินหาย และไม่มีหลักฐานว่าช่องโหว่นี้ถูกใช้งานจริง”
แต่จนถึงตอนนี้ ยังไม่ทราบแน่ชัดว่าใครเป็นผู้ค้นพบช่องโหว่ดังกล่าว และจะได้รับเงินรางวัล bug bounty หรือไม่ เนื่องจากทาง Foundation ยังไม่ได้ออกมาให้ข้อมูลเพิ่มเติมในจุดนี้
ด้าน Anatoly Yakovenko ผู้ร่วมก่อตั้ง Solana ก็ออกมาปกป้องการตัดสินใจของทีมงานบนแพลตฟอร์ม X โดยเปรียบเทียบกับกลไกการตัดสินใจของ Ethereum ที่ต้องใช้ฉันทามติจาก validator รายใหญ่เช่นเดียวกัน เช่น Lido, Binance, Coinbase และ Kraken
อ้างอิง : theblock.co