A Solana fejlesztői kijavítottak egy kritikus hibát, amely lehetővé tette volna privát tokenek korlátlan kibocsátását, de a javítás újabb centralizációs vitát indított.
Egy hiba, ami sokba kerülhetett volna
Április közepén egy súlyos biztonsági résre bukkantak a solana rendszerében, ami lehetővé tehette volna, hogy egy támadó korlátlan mennyiségben hozzon létre Token-22 típusú titkosított tokeneket. Ezek a Token-22-es tokenek úgynevezett „confidential tokens”, vagyis olyan digitális eszközök, amelyeknél a tranzakciók részleteit zero-knowledge proof (bizonyítás nélküli tudás alapú módszer) segítségével rejtve tartják. A hiba lehetővé tette, hogy hamisított bizonyítékokkal hitelesített tranzakciókat fogadjon el a rendszer. Ez nemcsak a tokenek kiadását, hanem más felhasználók fiókjából való jogosulatlan kifizetést is lehetővé tehette volna. A sebezhetőséget április 16-án fedezték fel, és már két nappal később a javított verziót átvette a validátorok túlnyomó többsége. Fontos kiemelni: nincs arra utaló nyom, hogy a hibát bárki ki is használta volna a valóságban -írja a Cointelegraph.com.
Kik és hogyan javították a hibát?
A hibát három solana-hoz köthető fejlesztőcég, az Anza, a Firedancer és a Jito közösen javította ki. Ebben segítséget nyújtott még három biztonsági kutatócsoport is: az Asymmetric Research, a Neodyme és az OtterSec. A biztonsági rés oka az volt, hogy a Fiat-Shamir transzformációban (ez egy kriptográfiai módszer a nyilvános véletlen számok létrehozására) egyes algebrai komponenseket véletlenül kihagytak a hashből. Így egy támadó képes lett volna olyan hamis bizonyítékot generálni, ami átmegy az ellenőrzésen. A solana fejlesztőcsapata gyorsan és hatékonyan lépett – a sebezhetőség felfedezését követően két külön javítócsomagot is kiadtak. A Solana Alapítvány megerősítette: minden felhasználói pénz biztonságban van.
Újra fellángolt a centralizációs vita
Habár a hiba kijavítása sikeres volt, az egész ügy újra előhozta a solana hálózat centralizációjával kapcsolatos kritikákat. Többek között egy Curve Finance fejlesztő vetette fel, hogy túl szoros az együttműködés a Solana Alapítvány és a validátorok között. Felmerült a kérdés: miért van egyetlen szervezet birtokában az összes validátor elérhetősége, és milyen más egyeztetések zajlanak ezekben a kommunikációs csatornákban? Ezek a kérdések azt a félelmet tükrözik, hogy néhány szereplő akár össze is játszhatna tranzakciók cenzúrázására vagy a blokklánc visszagörgetésére. Anatoly Yakovenko, a Solana Labs vezérigazgatója ugyan nem tagadta konkrétan a vádakat, de rámutatott: hasonló együttműködés az ethereum közösségében is megtörténhetne. Yakovenko példaként említette, hogy az ethereum validátorainak több mint 70%-át kriptotőzsdék és staking szolgáltatók irányítják, mint például a Lido, a binance, a coinbase vagy a kraken.
Mi következik ezután?
A mostani incidens emlékeztet arra, milyen fontos a kliensek diverzitása (változatossága) egy blokklánc hálózatban. Az ethereum például több különböző kliensprogramot használ, amelyek közül a legnépszerűbb, a geth, is csak 41%-os piaci részesedéssel bír. Ezzel szemben solana jelenleg csak egyetlen gyártásra kész klienssel rendelkezik, az Agave-val – vagyis, ha ebben hiba van, az a teljes protokollt érinti. A közeljövőben várhatóan megjelenik a Firedancer nevű új kliens, ami javíthatja majd a hálózat megbízhatóságát és elérhetőségét. Ryan Berckmans, egy ismert ethereum közösségi tag azonban úgy véli, legalább három különböző kliensre lenne szükség a valódi decentralizációhoz. Végső soron tehát nemcsak az a fontos, hogy gyorsan reagálunk egy hibára, hanem az is, hogy mennyire nyitott és diverz a rendszer, amelyre a felhasználók bízzák a pénzüket.
Hozzászólnál a témához? Véleményed elmondhatod Discord szerverünkön.