Solana Vakfı, bir saldırganın belirli tokenleri basmasına ve hatta bu tokenleri kullanıcı hesaplarından çekmesine olanak tanıyabilecek bir sıfır gün açığının düzeltildiğini doğruladı.
Solana Vakfı’nın 3 Mayıs tarihli olay sonrası raporuna göre, ilk olarak 16 Nisan’da keşfedilen güvenlik açığı, bir saldırganın Solana’nın gizliliği artıran “Token-22 confidential tokens” sistemini etkileyebilecek geçersiz bir kanıt oluşturmasına olanak tanıyabilirdi.
Vakıf, bu güvenlik açığının bilinen bir şekilde istismar edilmediğini ve Solana doğrulayıcılarının yamanmış sürümü benimsediğini belirtti.
Solana sıfır gün güvenlik açığının etkileri
Solana Vakfı, güvenlik açığının iki programı ilgilendirdiğini açıkladı: Token-2022 ve ZK ElGamal Proof.
Token-2022, token basımı ve hesaplar için ana uygulama mantığını işlerken, ZK ElGamal Proof, doğru hesap bakiyelerini göstermek için sıfır bilgi kanıtlarının doğruluğunu doğruluyor.
Vakıf, Fiat-Shamir Dönüşümü'nün transkript üretiminde bazı cebirsel bileşenlerin hash'e dahil edilmediğini belirtti. Bu süreç, kanıtlayıcıların kriptografik bir hash fonksiyonu kullanarak rastgelelik oluşturma şeklini belirler.
Bu açık, bir saldırganın hash’lenmemiş bileşenleri kötüye kullanarak, doğrulamayı geçen sahte bir kanıt oluşturarak Token-22 gizli tokenlerini basmasına ve çalmasına olanak tanıyabilirdi.
Token-22 gizli tokenleri veya “Genişletme Tokenleri”, özel transferler için sıfır bilgi kanıtlarından faydalanır ve gelişmiş token işlevselliğini mümkün kılmayı amaçlar.
Güvenlik açığı ilk olarak 16 Nisan’da tespit edildi ve sorunu çözmek için iki yama yayımlandı. Solana doğrulayıcılarının büyük çoğunluğu yamaları yaklaşık iki gün içinde benimsedi.
Solana geliştirme şirketleri Anza, Firedancer ve Jito güvenlik yamasının arkasındaki ana taraflarken, Asymmetric Research, Neodyme ve OtterSec de katkı sağladı.
Vakıf, tüm fonların güvende olduğunu doğruladı.
Ancak bu düzeltmeye rağmen, Solana Vakfı’nın konuyu Solana doğrulayıcılarıyla gizli şekilde ele alması, kripto topluluğunun bazı kesimlerinde merkezileşme endişelerine yol açtı.
Bu eleştiriler arasında, Solana doğrulayıcılarıyla olan yakın ilişkileri nedeniyle endişesini dile getiren bir Curve Finance katkıcısı da yer aldı.
“Birinin neden tüm doğrulayıcıların iletişim bilgilerini içeren bir listesi var? Bu iletişim kanallarında başka ne konuşuluyor?” diye sordular ve bu kişilerin potansiyel olarak işlemleri sansürlemek veya zinciri geri almak üzere anlaşabileceklerinden endişe ettiler.
Solana Labs CEO’su Anatoly Yakovenko bu iddiaları doğrudan yalanlamadı, ancak Ethereum topluluğunun da benzer bir güvenlik açığını çözmek için koordinasyon sağlayabileceğini söyledi.
Yakovenko, Ethereum ağındaki doğrulayıcıların yüzde 70’inden fazlasının Lido gibi kripto borsaları veya staking operatörleri tarafından kontrol edildiğini belirtti.
“Ethereum’da yüzde 70’e ulaşanlar da aynı kişiler. Tüm Lido doğrulayıcıları (Chorus One, P2P, vb.), Binance, Coinbase ve Kraken. Geth bir yama göndermek zorunda kalırsa, onlar için memnuniyetle koordine ederim.”
ağustos ayında Solana Vakfı ve ağ doğrulayıcıları, sahne arkasında başka bir kritik güvenlik açığını çözmüştü. O dönemde vakfın icra direktörü Dan Albert, bir yamanın koordine edilebilme yetisinin Solana’nın merkezileştiği anlamına gelmediğini söylemişti.
Ethereum topluluğu kendinden emin
Ethereum topluluğu üyesi Ryan Berckmans, Ethereum’un Solana ile aynı merkezileşme sorunlarına sahip olduğu iddialarını eleştirdi ve Ethereum’un yeterli istemci çeşitliliğine sahip olduğunu vurguladı.
Ethereum’daki en popüler istemci olan geth’in en fazla yüzde 41 pazar payına sahip olduğunu belirten Berckmans, Solana’nın ise yalnızca üretim için hazır bir istemcisi olan Agave’ye sahip olduğunu ekledi.
“Bu da tek Solana istemcisindeki sıfır gün açıklarının fiilen protokol açığı olduğu anlamına gelir. Tek istemciyi değiştirin, protokolü değiştirmiş olursunuz. İstemci protokoldür.”
Bu arada Solana, önümüzdeki birkaç ay içinde Firedancer adlı yeni bir istemciyi piyasaya sürmeye hazırlanıyor. Bu istemcinin ağın dayanıklılığını ve çalışma süresini artırması bekleniyor.
Ancak Berckmans, istemci düzeyinde yeterli merkezsizlik için Solana’nın en az üç istemciye sahip olması gerektiğini söyledi.
