Solana’da “Sınırsız Token” Basımına İzin Veren Açık Tespit Edildi: Açıklama Var!

Solana blockchain’inde keşfedilen bir “zero-day” açığı, Solana Foundation tarafından yapılan acil müdahale ile hızla kapatıldı.

Solana Foundation, ağın güvenliğini sağlamak için doğrulayıcılar ile gizli bir şekilde organize olarak, önemli bir yamanın dağıtılmasını sağladı. Açık, 16 Nisan’da tespit edildi ve yalnızca iki gün sonra, Solana ağındaki doğrulayıcılar tarafından uygulanan iki güncelleme ile tamamen kapatıldı. Foundation, açığın halka duyurulmadan önce çözülmesi gerektiği için konuya dair detayları gizli tutmayı tercih etti.

Bu kritik güvenlik açığı, ZK ElGamal Proof programında meydana gelmişti. Bu program, Solana’nın Token-2022 standardını kullanan belirli token’lerin gizli transferlerini doğrulayan bir sistemdi. Potansiyel bir saldırgan, sofistike sahte kanıtlar kullanarak sınırsız sayıda token basabilir ya da herhangi bir kullanıcının hesabından token çalabilirdi. Ancak, Solana’nın gizli transfer özelliği Ekim 2023’ten beri destekleniyor olmasına rağmen, bu özellik pek yaygın bir şekilde kullanılmamıştı.

Paxos’un USDP stabilcoini bu özelliği kullandığı yönündeki raporlara rağmen, Paxos bu iddiaları yalanladı ve yaptığı açıklamada “Gizli transferler şu anda Paxos tarafından çıkarılan herhangi bir stabilcoin’de aktif değildir” ifadelerini kullandı.

Solana Foundation, tüm fonların güvende olduğunu ve açığın henüz bir şekilde kötüye kullanılmadığını duyurdu. Açığın kim tarafından tespit edildiği ve bu kişilerin bir hata ödülü alıp almayacağı ise belirsizliğini koruyor. Solana Foundation’dan hemen bir açıklama alınamadı.

Solana’nın kurucu ortağı Anatoly Yakovenko, X platformunda yapılan eleştiriler üzerine Foundation’ın hızla yapılan güncellemeyi koordine etme çabalarını savundu:

“Ethereum’da %70’lik bir konsensüse ulaşmak için aynı kişilerle çalıştık. Lido doğrulayıcıları (Chorus One, P2P, vb.), Binance, Coinbase ve Kraken gibi isimler bu sürecin parçası.”