Lỗ hổng bảo mật trong giao dịch bí mật đã được khắc phục nhờ sự phối hợp nhanh chóng của các validator.
Solana vừa trải qua một cuộc khủng hoảng bảo mật tiềm ẩn khi phát hiện lỗ hổng zero-day trong chương trình ZK ElGamal Proof – hệ thống xác minh giao dịch bí mật của các token theo chuẩn Token-2022. Nếu không được vá kịp thời, kẻ tấn công có thể lợi dụng lỗi này để đúc token vô hạn hoặc đánh cắp tài sản từ ví người dùng.
Theo thông báo từ Solana Foundation, lỗ hổng được phát hiện vào ngày 16/4 và được khắc phục hoàn toàn chỉ sau 48 giờ nhờ sự phối hợp của đa số validator. “Tất cả quỹ đều an toàn, và không có bằng chứng nào cho thấy lỗ hổng này bị khai thác trước khi vá” – đại diện Solana khẳng định.
Quy trình xử lý khẩn cấp
- 16/4: Lỗ hổng được báo cáo (nguồn tin chưa tiết lộ).
- 17–18/4: Solana Foundation bí mật phối hợp với các validator triển khai bản vá.
- 18/4: Hai bản sửa lỗi được áp dụng thành công, đạt sự đồng thuận từ phần lớn mạng lưới.
Anatoly Yakovenko – đồng sáng lập Solana – đã lên tiếng bảo vệ cách xử lý của đội ngũ: “Quy trình đạt đồng thuận 70% trên Solana cũng tương tự Ethereum, với sự tham gia của các ‘ông lớn’ như Binance, Coinbase hay Kraken”.
Tính năng ít được sử dụng
Mặc dù giao dịch bí mật (confidential transfers) đã có mặt trên Solana từ tháng 10/2023, tính năng này ít được áp dụng trong thực tế. Một số thông tin cho rằng stablecoin USDP của Paxos sử dụng cơ chế này, nhưng Paxos đã phủ nhận: “Giao dịch bí mật hiện không được kích hoạt cho bất kỳ stablecoin nào do Paxos phát hành”.
Hiện chưa rõ liệu người phát hiện lỗi có nhận được bug bounty hay không. Solana Foundation cũng chưa công bố chi tiết về phần thưởng cho báo cáo lỗi.
Solana một lần nữa chứng minh khả năng phản ứng nhanh trước các mối đe dọa bảo mật, nhưng sự việc này cũng làm dấy lên tranh cãi về tính minh bạch trong quy trình xử lý lỗi của các blockchain.