Según el bot de noticias de Gate.io, Anza ha descubierto una vulnerabilidad en los programas precompilados ed25519 y secp256k1 de la Máquina virtual de Solana (SVM). Esta vulnerabilidad se presenta en los nodos validadores que ejecutan la versión v2.2 y tienen habilitada la opción --transaction-structure view.
Debido a la falta de garantía de alineación en la nueva vista de transacciones (transaction-view), y dado que se asume que los datos de las órdenes de transacción están alineados a 2 bytes, se produce una discrepancia en el hash bancario entre el nodo líder y el clúster, lo que causa la caída de nodos y problemas de disponibilidad en la red.
La vulnerabilidad fue reportada por primera vez por Temporal el 9 de abril. Anza posteriormente lanzó la versión v2.2.8 el 11 de abril para corregirlo, resolviendo el problema al eliminar la suposición de alineación. Anza confirmó que esta vulnerabilidad no comprometía la seguridad de los fondos y recomendó a los usuarios desactivar la función --transaction-structure view y actualizar a la versión corregida.
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
Se ha corregido la vulnerabilidad del programa precompilado de la Máquina virtual Solana
Según el bot de noticias de Gate.io, Anza ha descubierto una vulnerabilidad en los programas precompilados ed25519 y secp256k1 de la Máquina virtual de Solana (SVM). Esta vulnerabilidad se presenta en los nodos validadores que ejecutan la versión v2.2 y tienen habilitada la opción --transaction-structure view.
Debido a la falta de garantía de alineación en la nueva vista de transacciones (transaction-view), y dado que se asume que los datos de las órdenes de transacción están alineados a 2 bytes, se produce una discrepancia en el hash bancario entre el nodo líder y el clúster, lo que causa la caída de nodos y problemas de disponibilidad en la red.
La vulnerabilidad fue reportada por primera vez por Temporal el 9 de abril. Anza posteriormente lanzó la versión v2.2.8 el 11 de abril para corregirlo, resolviendo el problema al eliminar la suposición de alineación. Anza confirmó que esta vulnerabilidad no comprometía la seguridad de los fondos y recomendó a los usuarios desactivar la función --transaction-structure view y actualizar a la versión corregida.
Fuente de la noticia: Wu Shuo