توسعهدهندگان و اعتبارسنجهای سولانا با همکاری یکدیگر توانستند تا یک آسیبپذیری امنیتی بحرانی را برطرف کنند. بااینحال این اصلاح سریع با انتقادهایی درباره تمرکزگرایی شبکه همراه بوده است. بنیاد سولانا تأیید کرده که یک آسیبپذیری روز صفر که به مهاجم اجازه میداد برخی توکنها را ضرب کرده و حتی آنها را از حساب کاربران برداشت کند، برطرف شده است.
این گزارش برای اولین بار در تاریخ ۳ مه توسط بنیاد سولانا منتشر شد. در این گزارش آمده است که این آسیبپذیری امنیتی سولانا که نخستین بار در تاریخ ۱۶ آوریل شناسایی شد، میتوانست به مهاجم اجازه دهد یک اثبات نامعتبر ایجاد کند که بر توکنهای محرمانهی «Token-22» تأثیر میگذارد که قابلیت حفظ حریم خصوصی را در سولانا فراهم میکنند. بنا به اعلام بنیاد، هیچ بهرهبرداری شناختهشدهای از این آسیبپذیری انجام نشده و اعتبارسنجهای سولانا نسخهی اصلاحشده را پذیرفتهاند.
آسیبپذیری امنیتی سولانا بر توکنهای محرمانه Token-22 تأثیر گذاشت
بنیاد سولانا اعلام کرد که این آسیبپذیری امنیتی سولانا به دو برنامه Token-2022 و ZK ElGamal Proof مربوط میشود. Token-2022 منطق اصلی برنامه برای ضرب توکنها و مدیریت حسابها را پردازش میکند، درحالیکه ZK ElGamal Proof برای تأیید درستی اثباتهای دانایی صفر بهمنظور نمایش دقیق موجودی حسابها استفاده میشود.
بنا به گفتهی بنیاد، برخی از اجزای جبری در فرآیند تولید متن تبدیل فیات-شامیر (Fiat-Shamir Transformation) که مشخص میکند چگونه اثباتکنندگان تصادفی عمومی را با استفاده از تابع هش رمزنگاری تولید میکنند، از هش حذف شده بودند. این نقص میتوانست به مهاجم اجازه دهد با ساختن یک اثبات جعلی که از تأیید عبور میکند، توکنهای محرمانهی Token-22 را ضرب کرده و به سرقت ببرد.
این آسیبپذیری امنیتی سولانا نخستین بار در ۱۶ آوریل شناسایی شد و دو وصله برای حل این مشکل ارائه شد. اکثریت فوقالعادهای از اعتبارسنجهای سولانا حدود دو روز بعد این وصلهها را پذیرفتند. شرکتهای توسعهدهندهی سولانا شامل Anza، Firedancer و Jito نقش اصلی را در اصلاح این آسیبپذیری ایفا کردند. در کنار این شرکتها نیز شرکتهای Asymmetric Research، Neodyme و OtterSec نقش مهمی برای رفع این آسیبپذیری ایفا کردند.
در دیجینوی بخوانید:
تثبیت قیمت سولانا؛ آیا جهش قیمتی در راه است؟
داراییها ایمن باقیماندهاند ولی کاربران همچنان نگران هستند!
بنیاد سولانا تایید کرد که تمام داراییها ایمن باقیماندهاند. بااینحال و باوجود اعمال اصلاحات اما کاربران نگرانیهای زیادی در این رابطه دارند. درواقع نحوه رسیدگی محرمانه بنیاد سولانا به این مسئله باعث شده تا نگرانیهایی در مورد تمرکزگرایی از سوی برخی از اعضای جامعه کریپتو ایجاد شود.
بهعنوانمثال، یکی از مشارکتکنندگان Curve Finance نگرانیهای خود را در رابطه با نزدیکی بنیاد سولانا با اعتبارسنجها مطرح کرده است. وی معتقد است که چرا کسی فهرستی از تمام اعتبارسنجها و اطلاعات تماس آنها ندارد؟ در چنین شرایطی ممکن است افراد با یکدیگر تبانی کرده و تراکنشها را سانسور یا زنجیره را به عقب برگردانند.
آناتولی یاکوونکو، مدیرعامل Solana Labsمستقیماً این ادعاها را رد نکرد. بااینحال وی گفت اعضای جامعهی اتریوم نیز میتوانند برای حل یک باگ امنیتی مشابه با یکدیگر هماهنگ شوند. یاکوونکو برای اثبات ادعای خود افزود که بیش از ۷۰٪ از اعتبارسنجهای شبکه اتریوم نیز توسط صرافیهای رمزنگاری یا اپراتورهای استیکینگ مانند Lido کنترل میشوند.
در ماه اوت، بنیاد سولانا و اعتبارسنجهای شبکه بار دیگر یک آسیبپذیری بحرانی دیگر را بهصورت پشت پرده رفع کردند. در آن زمان، مدیر اجرایی بنیاد، دن آلبرت، اظهار داشت که توانایی هماهنگی برای اعمال یک وصله به معنای تمرکزگرایی سولانا نیست.
یکی از اعضای جامعه: اتریوم چنین مشکلی ندارد!
رایان برکمنز، یکی از اعضای جامعه اتریوم، ادعاهایی مبنی بر اینکه اتریوم نیز با مسائل تمرکزگرایی مشابه سولانا روبهروست را رد کرد. وی گفت که اتریوم از تنوع کافی در نرمافزارهای کلاینت برخوردار است.برکمنز گفت پرکاربردترین کلاینت اتریوم، geth، در بیشترین حالت تنها ۴۱٪ سهم بازار را در اختیار دارد. این موضوع در حالی است که سولانا تنها یک کلاینت آماده برای استفاده در تولید به نام Agave دارد.او افزود که این موضوع بدین معنی است که باگهای روز صفر در تنها کلاینت سول، عملاً باگهای خود پروتکل هستند. اگر برنامهی کلاینت را تغییر دهید، خود پروتکل را تغییر دادهاید. کلاینت، خودِ پروتکل است.
سخن پایانی
سولانا قصد دارد در چند ماه آینده کلاینت جدیدی به نام Firedancer را عرضه کند. انتظار میرود باعرضه این کلاینت مقاومت و پایداری شبکه بهبود یابد. بااینحال، برکمنز گفت برای اینکه سولانا ازنظر کلاینت بهاندازهی کافی غیرمتمرکز محسوب شود، به سه کلاینت نیاز دارد. نظر شما در رابطه با آسیبپذیری امنیتی سولانا چیست؟
دیدگاه ها