Solana corrige discretamente un fallo que podía permitir el robo y emisión de tokens

La Fundación Solana ha revelado una vulnerabilidad previamente desconocida en su sistema de tokens centrado en la privacidad que podría haber permitido a atacantes falsificar pruebas de conocimiento cero, posibilitando la acuñación o el retiro no autorizado de tokens.

La vulnerabilidad fue reportada por primera vez el 16 de abril a través de un aviso de seguridad de Anza en GitHub, acompañado de una prueba de concepto funcional. Ingenieros de los equipos de desarrollo de Solana, Anza, Firedancer y Jito verificaron el error y comenzaron a trabajar en una solución de inmediato, según un análisis publicado el sábado.

El problema se originó en el programa ZK ElGamal Proof, encargado de verificar las pruebas de conocimiento cero (ZKP) utilizadas en las transferencias confidenciales Token-22 de Solana. Estos tokens de extensión permiten mantener saldos y transferencias privadas mediante el cifrado de montos y el uso de pruebas criptográficas para su validación.

Las pruebas de conocimiento cero son un método criptográfico que permite a alguien demostrar que conoce o posee cierta información —como una contraseña o su edad— sin revelar el dato en sí. En aplicaciones cripto, pueden utilizarse para validar transacciones sin mostrar los montos o las direcciones involucradas, reduciendo así el riesgo de ataques dirigidos.

En este caso, el error se debió a la omisión de ciertos componentes algebraicos en el proceso de hash durante la transformación Fiat-Shamir, un método estándar para convertir pruebas interactivas en pruebas no interactivas, que cualquiera puede verificar sin necesidad de un diálogo entre emisor y receptor.

Esta omisión habría permitido a un atacante sofisticado falsificar pruebas inválidas que, no obstante, el verificador en cadena aceptaría como válidas. Con ello, se habría abierto la puerta a la creación ilimitada de tokens o a retiros no autorizados desde otras cuentas.

La vulnerabilidad no afectó a los tokens SPL estándar ni a la lógica principal del programa Token-2022.

Los parches comenzaron a distribuirse de forma privada a los operadores de validadores a partir del 17 de abril. Un segundo parche fue enviado esa misma noche para abordar un problema relacionado en otra parte del código base. Ambos fueron revisados por las firmas de seguridad externa Asynchronous Research, Neodyme y OtterSec.

Para el 18 de abril, la mayoría de los validadores ya había aplicado la solución. No hay indicios de que la vulnerabilidad haya sido explotada, y todos los fondos permanecen seguros, según el informe post mortem.

Este artículo, o partes del mismo, fue generado con asistencia de herramientas de IA y revisado por nuestro equipo editorial para garantizar la precisión y el cumplimiento de nuestros estándares. Para más información, consulte la política completa de IA de CoinDesk.