Solana blockchain’inde tespit edilen bir “zero-day” açığı, Solana Foundation tarafından hızla alanında uzman bir müdahale ile kapatıldı.
Solana Foundation, ağın güvenliğini temin etmek amacıyla doğrulayıcılarla gizli bir ortaklık kurarak, kritik bir yamanın hızla dağıtımını sağladı. Söz konusu açık, 16 Nisan’da belirlenmiş olup, sadece iki gün içerisinde Solana ağındaki doğrulayıcılar tarafından yapılan iki güncelleme ile tamamen giderildi. Kuruluş, açığın kamuoyuna duyurulmadan evvel çözülmesi gerektiği için konuyla ilgili ayrıntıları gizli tutmayı seçti.
Açığın kökeni, ZK ElGamal Proof programına dayanıyordu. Bu program, Solana’nın Token-2022 standardını kullanan belirli token’lerin gizli transferlerini doğrulamak için tasarlanmış bir sistemdi. Potansiyel bir saldırgan, karmaşık sahte kanıtlar aracılığıyla sınırsız miktarda token basabilir veya herhangi bir kullanıcının cüzdanından token çalabilirdi. Ancak, Solana’nın gizli transfer desteği Ekim 2023 itibarıyla mevcut olmasına rağmen, bu özellik geniş ölçekte kullanılmamıştı.
Paxos’un USDP stabilcoini bu özelliği kullandığına dair raporlar olsa da, Paxos bu iddiaları yalanlayarak yaptığı açıklamada “Gizli transferler şu anda Paxos tarafından çıkarılan herhangi bir stabilcoin’de aktif değildir” ifadelerini kullandı.
Solana Foundation, tüm finansal varlıkların güvende olduğunu ve açığın şu ana kadar kötüye kullanılmadığını kamuoyuna duyurdu. Açığı kimin tespit ettiği ve bu kişilerin bir hata ödülü alıp almayacağı konusu ise hâlâ belirsizliğini koruyor. Solana Foundation’dan hızlı bir açıklama alınamadığı belirtildi.
Solana’nın kurucu ortağı Anatoly Yakovenko, X platformunda gelen eleştirilere yanıt vererek, Foundation’ın hızlı güncelleme çabalarını savundu:
“Ethereum’da %70’lik bir konsensüse ulaşmak için aynı kişilerle çalıştık. Bu süreçte Lido doğrulayıcıları (Chorus One, P2P, vb.), Binance, Coinbase ve Kraken gibi önde gelen isimler yer aldı.”
