Fondation Solana : vulnérabilité potentielle détectée dans le programme de preuve ZK ElGamal, aucune preuve d’exploitation, impact limité

Odaily Planet Daily – Selon le blog officiel de la Solana Foundation, des chercheurs en sécurité ont signalé une vulnérabilité potentielle dans le programme ZK ElGamal Proof aux parties concernées de l’écosystème Solana. Le rapport comprenait une preuve de concept (PoC) de la vulnérabilité, mais il n’existe actuellement aucune preuve qu’elle ait été exploitée.
Après évaluation, la vulnérabilité pourrait permettre à des attaquants de construire des preuves arbitraires et de contourner la vérification, affectant ainsi les tokens confidentiels Token-2022 et rendant possibles des actions illégales telles que la création illimitée de tokens. Pour réagir rapidement, le 11 juin, les équipes concernées ont mis à jour le programme Token-2022 (version évolutive) afin de désactiver dans un premier temps la fonction de transfert confidentiel. Le 13 juin, une demande de mise à niveau d’urgence a été envoyée sur le Discord Solana Tech, incitant les opérateurs à mettre à jour leur logiciel pour désactiver le programme ZK ElGamal Proof. Le 19 juin, au début de l’epoch 805 du mainnet-beta, le programme a été officiellement désactivé via l’activation d’une fonctionnalité.
Actuellement, la fonctionnalité ZK ElGamal dans Token-2022 est principalement utilisée par des produits innovants en phase de test. Bien que les stablecoins majeurs aient initialisé les transferts confidentiels, cette fonctionnalité n’a pas été rendue accessible aux utilisateurs, ce qui se traduit par une utilisation réelle extrêmement faible et un impact limité. Le programme sera réactivé après la réalisation d’audits et la correction du problème, ce qui devrait prendre plusieurs mois.