Solana Vá lỗi Bảo mật Ngăn Chặn Khả Năng Báo Mở và Đánh Cắp Token

Thời gian đọc ước tính: 5 phút

• Thông báo từ Tổ chức Solana ngày 5 tháng 5, 2025 về lỗi bảo mật
• Cơ chế hoạt động vẫn bảo đảm an toàn kể từ sau bản vá
• Phản hồi của cộng đồng và cách giải thích của nhà phát triển

Lỗ Hổng Nghiêm Trọng Được Khắc Phục

Mạng lưới blockchain Solana gần đây đã xử lý một sự cố bảo mật nghiêm trọng sau khi phát hiện lỗ hổng có thể cho phép kẻ tấn công tạo ra và rút không giới hạn Token-22, theo thông báo từ Tổ chức Solana ngày 5 tháng 5, 2025. Lỗi này, liên quan đến chương trình Chứng minh ZK ElGamal, đã được sửa chữa kín đáo trước khi công khai, dẫn đến một cuộc thảo luận sôi nổi trên mạng xã hội.

Chương trình Chứng minh ZK ElGamal chịu trách nhiệm chứng thực số dư mã hóa và đảm bảo tính chính xác của các bằng chứng kiến thức không. Theo báo cáo từ Tổ chức Solana, một số thành phần đại số không được bao gồm trong hàm băm đã dùng để tạo ra một bản ghi cho phép chuyển đổi Fiat-Shamir. Do đó, một kẻ tấn công tinh vi có thể dùng những thành phần đó để tạo ra một bằng chứng giả mạo, cho phép thực hiện những hành động không hợp pháp nhưng vẫn vượt qua được xác minh an toàn.

Sau khi nhận được thông báo đầu tiên từ Anza Github Security Advisory vào ngày 16 tháng 4, lỗ hổng đã được các kỹ sư từ Anza, Firedancer, và Jito xác nhận và bắt đầu cập nhật bản vá vào ngày hôm sau. Anza, một đội ngũ phát triển Solana với các cựu nhân viên Solana Labs, và Jito, một công ty hạ tầng nổi tiếng trong hệ sinh thái, đã trực tiếp triển khai bản vá lỗi cho các nhà xác thực trên mạng lưới.

Đến chiều ngày 18 tháng 4, phần lớn các nhà xác thực đã áp dụng bản vá này, bao gồm thêm một bản vá khắc phục lỗi tương tự trong một phần khác của mã nguồn. Bây giờ, các quỹ đều an toàn và hiện chưa có bằng chứng về việc khai thác lỗ hổng trên.

Phản Ứng Từ Cộng Đồng

Mặc dù đã nhanh chóng giải quyết và không có thiệt hại, Tổ chức Solana vẫn đối mặt với một số chỉ trích trên mạng xã hội về việc cập nhật kín đáo trước khi công khai báo cáo sự cố. “Tôi nghe đúng chứ? Có một vấn đề zero-day trên mạng chính Solana và hơn 70% các nhà xác thực đã bí mật liên kết để cập nhật và vá lỗi quan trọng trước khi công khai,” một nhà phát triển Ethereum ẩn danh viết trên X (trước đây là Twitter).

Bất chấp phản ứng từ cộng đồng, nhiều nhà phát triển nổi tiếng của Solana và đồng sáng lập Anatoly Yakovenko đã lên tiếng bảo vệ quy trình này, cho rằng cách tiếp cận này cần thiết và điển hình với việc vá lỗi bí mật. Hudson Jameson, nhà phát triển Ethereum lâu năm, cũng lập luận rằng đây là phương pháp công việc bình thường cho những vấn đề bảo mật quan trọng và nhấn mạnh tầm quan trọng của việc có một đội ngũ phát triển trưởng thành để thực hiện các bản vá bí mật.

Tim Garcia từ Tổ chức Solana, người tham gia vào việc phân phối bản vá tới các nhà xác thực, cho biết: “Tôi rất vui khi nhận được gợi ý về quy trình tốt hơn. Tuy nhiên, thực hiện phân phối công khai trước khi đủ lượng người chấp nhận là không khả thi”.

Solana, với cấu trúc thử thách và những chỉ trích liên quan đến tính tập trung, hiện có 1.279 nhà xác thực theo số liệu từ trang chủ của nó. Tháng Mười năm ngoái, Edward Snowden đã từng chỉ trích blockchain này về vấn đề tập trung hóa. Tuy nhiên, các lãnh đạo trong hệ sinh thái Solana đã phản bác và giải thích rằng mạng lưới này được đánh giá dựa trên các chỉ số đo lường khách quan.