据Solana基金会官方博客,安全研究人员向Solana生态相关方报告ZK ElGamal Proof程序存在潜在漏洞,该报告包含漏洞的概念验证(PoC),目前尚未发现该漏洞被利用的情况。经评估,该漏洞可让攻击者构造任意证明并绕过验证,影响Token-2022保密代币,使其能执行如无限铸币等非法操作。为及时应对,6月11日,相关团队对可升级的Token-2022程序更新,先禁用保密转账功能。6月13日,向Solana技术Discord发送紧急升级请求,要求操作员升级软件以禁用ZK ElGamal证明程序。6月19日,在主网-测试版epoch 805开始时,通过功能激活正式禁用该程序。
目前,使用ZK ElGamal功能的Token-2022功能多由测试中的创新产品使用,主流稳定币虽初始化保密转账但未对用户开放,实际使用率极低,影响较小。后续将完成审计、修复问题后重新启用该程序,预计需数月时间。 (PANews)
