La Solana Foundation ha confirmado que una vulnerabilidad de día cero que permitía a un atacante potencialmente acuñar ciertos tokens e incluso retirar esos tokens de las cuentas de los usuarios ha sido corregida.
Un informe post-mortem del 3 de mayo de la Solana Foundation indicó que la vulnerabilidad de seguridad, descubierta por primera vez el 16 de abril, podría haber permitido a un atacante falsificar una prueba inválida que afectara a los “tokens confidenciales Token-22” de Solana, que habilitan la privacidad.
No se conoce ninguna explotación de la vulnerabilidad, y los validadores de Solana han adoptado desde entonces la versión parcheada, según la fundación.
El error de seguridad de día cero de Solana afectó a los tokens confidenciales Token-22
La Solana Foundation señaló que la vulnerabilidad de seguridad involucró dos programas: Token-2022 y ZK ElGamal Proof.
Token-2022 gestiona la lógica principal de la aplicación para la acuñación de tokens y cuentas, mientras que ZK ElGamal Proof verifica la corrección de las pruebas de conocimiento cero para mostrar saldos de cuentas precisos.
La fundación explicó que ciertos componentes algebraicos fueron omitidos del hash en la generación del transcript de la Transformación Fiat-Shamir, que especifica cómo los probadores crean aleatoriedad pública utilizando una función hash criptográfica.
El fallo podría haber permitido a un atacante explotar los componentes no hasheados al crear una prueba falsificada que pasara la verificación para acuñar y robar tokens confidenciales Token-22.
Los tokens confidenciales Token-22, o “Tokens de Extensión”, aprovechan pruebas de conocimiento cero para transferencias privadas y buscan habilitar funcionalidades avanzadas de tokens.
La vulnerabilidad fue identificada por primera vez el 16 de abril, y se implementaron dos parches para resolver los problemas. La supermayoría de los validadores de Solana adoptó los parches aproximadamente dos días después.
Las firmas de desarrollo de Solana, Anza, Firedancer y Jito, fueron las principales responsables del parche de seguridad, mientras que Asymmetric Research, Neodyme y OtterSec también colaboraron.
La fundación confirmó que todos los fondos permanecen seguros.
A pesar de la corrección, el manejo privado del problema por parte de la Solana Foundation con los validadores de Solana generó preocupaciones sobre centralización en algunos miembros de la comunidad de criptomonedas.
Esto incluyó a un colaborador de Curve Finance que expresó preocupaciones sobre la estrecha relación de la fundación con los validadores de Solana.
“¿Por qué alguien tiene una lista de todos los validadores y sus datos de contacto? ¿De qué más están hablando en esos canales de comunicación?”, preguntaron, temiendo que pudieran coludir para potencialmente censurar transacciones o revertir la blockchain.
El CEO de Solana Labs, Anatoly Yakovenko, no negó directamente las afirmaciones, pero dijo que los miembros de la comunidad de Ethereum también podrían coordinarse para resolver un error de seguridad similar.
Más del 70% de los validadores de la red Ethereum también están controlados por exchanges de criptomonedas u operadores de staking como Lido, dijo Yakovenko al defender su argumento.
“Son las mismas personas para alcanzar el 70% en Ethereum. Todos los validadores de Lido (Chorus One, P2P, etc.), Binance, Coinbase y Kraken. Si geth necesita implementar un parche, estaré encantado de coordinar para ellos”.
En agosto, la Solana Foundation y los validadores de la red resolvieron otra vulnerabilidad crítica en privado. En ese momento, el director ejecutivo de la fundación, Dan Albert, dijo que la capacidad de coordinar un parche no significa que Solana esté centralizada.
Un miembro de la comunidad dice que Ethereum no caería en el mismo problema
El miembro de la comunidad de Ethereum, Ryan Berckmans, criticó las afirmaciones de que Ethereum está sujeto a los mismos problemas de centralización que Solana, señalando que Ethereum tiene suficiente diversidad de clientes.
El cliente más popular de Ethereum, geth, tiene como máximo un 41% de cuota de mercado en Ethereum, dijo Berckmans, mientras señaló que Solana solo tiene un cliente listo para producción, Agave.
“Esto significa que los errores de día cero en el único cliente de Solana son de facto errores del protocolo. Cambia el programa del cliente único, cambia el protocolo mismo. El cliente es el protocolo”.
Mientras tanto, Solana planea lanzar un nuevo cliente, Firedancer, en los próximos meses, que se espera que mejore la resiliencia y el tiempo de actividad de la red.
Sin embargo, Berckmans dijo que Solana necesitaría tres clientes para estar suficientemente descentralizada a nivel de cliente.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
