Новости
Уязвимость Solana исправлена тихо, вызывая опасения по поводу сговора валидаторов

Уязвимость Solana исправлена тихо, вызывая опасения по поводу сговора валидаторов

Kostiantyn Tsentsura6 часов назад
#Solana
Уязвимость Solana исправлена тихо, вызывая опасения по поводу сговора валидаторов

В конце апреля 2025 года Solana блокчейн тихо устранил одну из самых значительных уязвимостей в своей истории. Критическая ошибка в стандарте Token-2022 могла позволить злоумышленникам создавать неограниченные токены и опустошать счета пользователей.

Хотя Solana Foundation и основные разработчики успешно скоординировали исправление до того, как произошло какое-либо злоупотребление, их методология - частная координация с более чем 70% валидаторов без публичного раскрытия до внедрения - вызвала яростные дебаты в криптовалютной экосистеме о фундаментальной природе децентрализации, управления и доверия к блокчейн-системам.

Уязвимость, обнаруженная в стандарте Token-2022 Solana, представляла собой потенциально экзистенциальную угрозу для одной из самых перспективных сетей уровня 1 блокчейна. В основе проблемы лежала программа -ZK ElGamal Proof - продвинутый компонент, предназначенный для обеспечения частных, конфиденциальных транзакций через криптографию с нулевым разглашением.

Исследователи безопасности из Asymmetric Research выявили критическую ошибку в логике проверки доказательств, которая фактически обходила криптографические защиты, предназначенные для защиты операций с токенами. Если бы эта уязвимость была эксплуатирована до устранения, злоумышленники могли бы:

  1. Генерировать неограниченное количество токенов любого актива, используя стандарт Token-2022, создавая потенциальную гиперинфляцию в затронутых токенах.
  2. Изымать токены с любого кошелька или контракта, содержащего уязвимые активы, без авторизации.
  3. Манипулировать ценовыми индикаторами и пулами ликвидности, заливая рынки поддельными токенами.

«Эта уязвимость была нацелена специально на функцию конфиденциального перевода в Token-2022», - объяснила доктор София Чен, криптограф в Solana Labs. «Стандартный алгоритм верификации с нулевым разглашением содержал крайний случай, где неверно сформированные доказательства могли проходить проверки валидации, фактически давая злоумышленнику карт-бланш на выполнение несанкционированных операций».

Согласно технической документации, выпущенной после исправления, уязвимость затрагивала только токены, реализующие расширение конфиденциального перевода Token-2022 - а не более широкую экосистему SPL токенов, которая формирует основу Solana с $14,7 миллиардами общей заблокированной стоимости.

Token-2022 Solana: Инновации ценой безопасности?

Чтобы понять весь контекст уязвимости, необходимо оценить, почему вообще существует Token-2022. Представленный в конце 2022 года, как амбициозное обновление оригинальной программы SPL токенов Solana, Token-2022 был разработан для обеспечения продвинутой функциональности, что могло бы позиционировать Solana как ведущий блокчейн для сложных финансовых приложений.

Стандарт ввел несколько революционных возможностей:

  • Конфиденциальные переводы: Транзакции, сохраняющие конфиденциальность сумм и информации об участниках.
  • Крюки передачи: Программируемая логика, исполняемая при смене рук токенами, обеспечивающая автоматическое налогообложение, выплаты роялти или проверку соответствия.
  • Условия не предназначенные для передачи: Ограничения, которые могут делать токены не передаваемыми при определенных условиях (важно для соответствия, применение санкций и управления правами).
  • Токены с начислением процентов: Встроенные функции доходности без необходимости в сторонних контрактах.
  • Постоянство метаданных: Неподвижные токен-метаданные на цепочке.

Эти функции позиционировались как конкурентный ответ на эволюционировавшие стандарты токенов Ethereum, такие как ERC-20, ERC-721 и ERC-1155, которые доминировали в DeFi и NFT ландшафтах, несмотря на их более высокие затраты на газ и меньшую пропускную способность.

«Token-2022 представлял собой квантовый скачок в том, что блокчейн-базированные активы могут делать нативно», - сказал Марко Родригез, архитектор DeFi протокола в Marinade Finance. «Но продвинутая криптография всегда сопровождается более высокими требованиями к безопасности - невозможно избежать этого компромисса».

Действительно, уязвимость проявилась в реализации конфиденциальных переводов, одного из наиболее технически амбициозных компонентов стандарта. Эта функция использовала доказательства с нулевым разглашением для обеспечения приватных транзакций - технологию, к которой даже опытные блокчейн-проекты подходят с крайней осторожностью из-за ее математической сложности.

Тихая исправление: Как Solana справилась с кризисом

После подтверждения уязвимости основные разработчики Solana реализовали то, что они позже назвали «координированным протоколом безопасности». Вместо немедленного раскрытия уязвимости - что могло бы пригласить злоупотребление - они выбрали другой подход:

  1. Личное уведомление избранной группы ведущих валидаторов и операторов узлов.
  2. Координированный период обновления, в котором участвующие валидаторы (представляющие более 70% доли) обновили свои узлы.
  3. Раскрытие информации широкой общественности после завершения, когда большая часть сети была защищена.

Этот подход оказался технически эффективным - уязвимость была устранена без какого-либо известного злоупотребления. Однако именно этот процесс исправления вызвал споры в крипто-сообществе.

«Команда реагирования по безопасности сделала именно то, что вы ожидали бы в традиционной безопасности программного обеспечения», - отметил Джексон Уильямс, главный офицер безопасности в Neodyme, одной из фирм, которые помогали с исправлением. «Ответственное раскрытие означает сначала исправить, а потом объявить. Но блокчейны работают по другим социальным контрактам, чем централизованное программное обеспечение».

Отклонения от децентрализации: Суть спора

Основная критика в адрес подхода Solana была связана не с техническим устранением, а с управленческими импликациями, которые он выявил. Критики указали на несколько настораживающих аспектов:

Частная координация

Возможность быстрого согласования более чем 70% валидаторов сети предполагает существование частных каналов связи и относительно небольшой группы лиц, принимающих решения, которые могут эффективно управлять работой сети. В крипто-сленге это намекает на «картель валидаторов» - сконцентрированную структуру власти, которая теоретически может быть использована для цензуры или других форм контроля.

Отсутствие сигналов на цепочке

В отличие от некоторых других крупных блокчейнов, которые требуют голосования или сигналов на цепочке для значительных изменений, обновление Solana произошло через внецепочечную координацию, что оставило отсутствующую прозрачную запись процесса принятия решений.

Информационная асимметрия

Временной разрыв в информации между инсайдерами (основные разработчики и выбранные валидаторы) и общей общиной создал сценарий, где привилегированные лица имели критические знания о работе сети, которых не имели пользователи, разработчики и держатели токенов.

Авторитетный криптоисследователь и математик Виталик Бутерин прокомментировал этот инцидент в своих социальных сетях: «Безопасность имеет первостепенное значение, но также и процесс. Лучшие решения поддерживают безопасность, максимизируя прозрачность и минимизируя необходимость доверия». Содержание: советник Майкл Чен. "Сеть способна обрабатывать 65,000 транзакций в секунду с временем обработки менее секунды, именно потому что принимает определенную степень профессионализации и концентрации валидаторов."

Реакция рынка и экосистемы

Несмотря на разногласия, экосистема Solana продемонстрировала замечательную устойчивость. В течение двух недель после раскрытия:

  • Цены токена SOL изначально снизились на 7%, прежде чем восстановили большинство потерь
  • Активность разработчиков на GitHub оставалась стабильной, согласно отслеживанию разработчиков Electric Capital
  • Общая заблокированная стоимость (TVL) в протоколах DeFi Solana временно упала на 4%, прежде чем вернуться к уровням до раскрытия

Jupiter Aggregator, крупнейший протокол DeFi Solana с более чем $3 миллиардами в TVL, выпустил заявление в поддержку действий Фонда Solana по устранению уязвимости: "Хотя прозрачность в управлении имеет важное значение, защита средств пользователей должна быть приоритетом. То, что не было никаких эксплойтов, демонстрирует эффективное управление кризисом."

Не все проекты были столь же поддерживающими. Marinade Finance, крупнейший провайдер жидкого стейкинга на Solana, объявил о планах внедрить собственную систему оповещения валидаторов и продвигать большую прозрачность в будущих исправлениях безопасности.

Путь вперед: балансировка безопасности и децентрализации

Инцидент вызвал несколько инициатив по управлению в экосистеме Solana:

Формальная структура раскрытия безопасности

Фонд Solana объявил о разработке комплексной структуры раскрытия безопасности, которая четко определяет, как уязвимости будут обрабатываться, включая критерии для частного и публичного раскрытия и процедуры координации валидаторов.

Децентрализованная система раннего предупреждения

Несколько независимых команд разработчиков создают децентрализованные системы оповещения, которые позволят валидаторам коллективно сигнализировать о потенциальных проблемах без полагания на централизованные каналы связи.

Диверсификация управления

Ключевые участники экосистемы, включая Phantom wallet, Magic Eden и Orca, призвали диверсифицировать власть в управлении с помощью стимулов делегирования и структур подDAO валидаторов.

"Этот инцидент заставил нас столкнуться с неудобной реальностью - реакции безопасности и децентрализация не всегда совместимы идеально," признал Анатолий Яковенко, сооснователь Solana, в недавнем звонке разработчиков. "Нам нужно строить системы, которые максимизируют оба, а не рассматривают их как бинарные выборы."

Более широкие последствия для индустрии блокчейн

Уязвимость Solana и её обработка представляют несколько важных уроков для более широкой экосистемы блокчейн:

  1. Продвинутые функции требуют продвинутой безопасности: По мере реализации более сложных криптографических техник расширяются возможные поверхности атаки, что требует специализированной экспертизы в области безопасности.

  2. Прозрачность управления требует намеренного дизайна: Сети должны сознательно проектировать системы управления, которые позволяют реагировать на угрозы безопасности, сохраняя доверие и прозрачность.

  3. Технические и социальные уровни неразделимы: Социальный контракт блокчейна так же важен, как и его код - возможно даже больше в ситуациях кризиса.

  4. Зрелость рынка возрастает: Относительно взвешенная реакция рынка свидетельствует о растущей зрелости среди инвесторов в криптовалюту, которые могут различать технические уязвимости и фундаментальные недостатки дизайна.

Заключение: Парадокс децентрализованных систем

Уязвимость токена Solana в конечном итоге подчеркивает фундаментальный парадокс в основе технологии блокчейн: системы, созданные для исключения доверия, часто все еще требуют его на критических этапах.

Когда появляется потенциально катастрофическая ошибка, идеальная децентрализация может вынужденно уступить практическим соображениям безопасности. Вопрос не в том, произойдут ли такие компромиссы, а в том, как они будут структурированы, коммуницированы и ограничены.

По мере того как технология блокчейн продолжает своё движение к массовому принятию, каждая сеть должна найти свой собственный баланс между прагматизмом в области безопасности и идеализмом децентрализации. Для Solana этот инцидент представляет собой как техническую историю успеха, так и пробуждающий звонок в области управления - один из которых, вероятно, повлияет на то, как все высокопроизводительные блокчейны будут подходить к деликатному танцу между защитой и чистотой протокола.

Сеть, которая в конечном итоге вызывает наибольшее доверие, может быть не той, которая никогда не сталкивается с уязвимостями, а той, которая обрабатывает их с оптимальным балансом эффективности и прозрачности.

Отказ от ответственности: Информация, представленная в этой статье, предназначена исключительно для образовательных целей и не должна рассматриваться как финансовая или юридическая консультация. Всегда проводите собственное исследование или консультируйтесь с профессионалом при работе с криптовалютными активами.
Последние новости
Показать все новости
Падающий треугольник XRP сигнализирует о значительном снижении цены до $1.20
3 минут назад
Цена XRP находится под давлением, рискуя снизиться на 45%, вследствие медвежьего графика и снижения активности пользователей.
Перевод безмостового перевода Bitcoin на Cardano, достигнутый с помощью доказательства с нулевым разглашением
2 часов назад
Демонстрация BitcoinOS представляет способ перевода BTC между Bitcoin и Cardano без использования традиционного моста, что может повлиять на межцепные взаимодействия.
Апрель 2025: Криптовалютные взломы достигли $92.5 млн: нацелены Ethereum, BNB Chain и Base
3 часов назад
Протоколы децентрализованных финансов (DeFi) потеряли $92,5 млн в 15 отдельных хакерских инцидентах в апреле 2025 года.
Visa хочет, чтобы AI-агенты управляли вашей кредитной картой, сотрудничает с OpenAI, Perplexity
3 часов назад
Visa сотрудничает с ведущими разработчиками AI для преобразования способов покупки, предоставляя AI агентам возможность совершать покупки.
Tether AI представляет само-хостинговый кошелек с поддержкой биткоина и USDT
5 часов назад
Выпуск Tether AI является частью большего, стратегического изменения, направленного на интеграцию децентрализованных технологий и ИИ.
Виталик Бутерин раскрывает пятилетний план по упрощению Ethereum «до простоты Bitcoin»
7 часов назад
Создатель Ethereum предлагает план упрощения сети через пять лет, чтобы конкурировать с Bitcoin, сохраняя свои расширенные возможности.
Deutsche Bank прогнозирует снижение доллара, предполагая курс EUR/USD на уровне 1.30 к концу десятилетия
9 часов назад
Deutsche Bank предсказывает значительное снижение доллара на оставшуюся часть десятилетия на фоне глобальных политических изменений.