🟨"Fondazione Solana Risolve Vulnerabilità Zero-Day"
Giorno: 5 maggio 2025 | Ora: 04:14 La Fondazione Solana ha risolto una vulnerabilità zero-day che permetteva di coniare e prelevare token dagli utenti, scoperta il 16 aprile. Non si sono registrati exploit e i validatori hanno aggiornato il software. Tuttavia, la gestione della questione ha sollevato preoccupazioni di centralizzazione. Critiche sono arrivate dalla comunità Ethereum, sottolineando la necessità di diversi client per garantire decentralizzazione, mentre Solana prevede di lanciare un nuovo client, Firedancer, per migliorare la resilienza della rete.
La Fondazione Solana ha confermato di aver risolto una vulnerabilità zero-day che permetteva a un attaccante di coniare determinati token e persino di prelevare token dai conti utente. Questa vulnerabilità di sicurezza è stata scoperta per la prima volta il 16 aprile e avrebbe potuto consentire un attacco ai token riservati conosciuti come "Token-22". Tuttavia, non si è registrato alcun exploit di questa vulnerabilità, e i validatori di Solana hanno adottato una versione corretta del software.
La vulnerabilità riguardava due programmi principali: Token-2022, che gestisce la logica applicativa principale per i coniamenti e i conti, e ZK ElGamal Proof, che verifica la correttezza delle prove a conoscenza zero. Un errore di ommissione di componenti algebrici ha creato una possibilità di sfruttamento, consentendo la creazione di prove forge per coniare e rubare i Token-22. Dopo la scoperta, sono stati implementati due aggiornamenti, e la maggior parte dei validatori ha adottato le patch in un paio di giorni.
Nonostante la risoluzione del problema, la gestione riservata della questione da parte della Fondazione Solana ha sollevato preoccupazioni di centralizzazione all'interno della comunità cripto. Un contributore di Curve Finance ha messo in dubbio la stretta relazione tra la fondazione e i validatori, temendo possibili collusioni per censurare transazioni o annullare la catena. Il CEO di Solana Labs, Anatoly Yakovenko, non ha negato direttamente queste affermazioni, ma ha sottolineato che anche i membri della comunità Ethereum possono coordinarsi per affrontare problemi di sicurezza simili.
Un membro della comunità Ethereum, Ryan Berckmans, ha criticato l'idea che Ethereum fosse soggetto a problemi di centralizzazione simili a quelli di Solana, evidenziando la diversità dei client disponibili per Ethereum. Ha fatto notare che il client più popolare di Ethereum, geth, ha al massimo il 41% di quota di mercato, mentre Solana dispone attualmente di un solo client funzionante. Berckmans ha affermato che la necessità di avere diversi client per garantire una decentralizzazione sufficiente è fondamentale, e Solana sta lavorando per lanciare un nuovo client, Firedancer, nei prossimi mesi, per migliorare la resilienza e il tempo di attività della rete.
