Selon le bot d'actualités de Gate.io, Anza a découvert une vulnérabilité dans les précompilations ed25519 et secp256k1 de la Machine virtuelle Solana (SVM). Cette vulnérabilité se manifeste sur les nœuds validateurs exécutant la version v2.2 avec l'option --transaction-structure view activée.
En raison du manque de garantie d'alignement de la nouvelle vue des transactions (transaction-view), et les données des instructions de transaction étant supposées être alignées sur 2 octets, cela a entraîné des incohérences de hachage bancaire entre le nœud leader et le cluster, provoquant des pannes de nœud et des problèmes de disponibilité du réseau.
Cette vulnérabilité a été signalée pour la première fois par Temporal le 9 avril. Anza a ensuite publié la version v2.2.8 le 11 avril pour corriger le problème en supprimant l'hypothèse d'alignement. Anza a confirmé que cette vulnérabilité n'a pas mis en danger la sécurité des fonds et a conseillé aux utilisateurs de désactiver la fonction --transaction-structure view et de mettre à jour vers la version corrigée.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Le vulnérabilité du programme précompilé de Machine virtuelle Solana a été corrigée.
Selon le bot d'actualités de Gate.io, Anza a découvert une vulnérabilité dans les précompilations ed25519 et secp256k1 de la Machine virtuelle Solana (SVM). Cette vulnérabilité se manifeste sur les nœuds validateurs exécutant la version v2.2 avec l'option --transaction-structure view activée.
En raison du manque de garantie d'alignement de la nouvelle vue des transactions (transaction-view), et les données des instructions de transaction étant supposées être alignées sur 2 octets, cela a entraîné des incohérences de hachage bancaire entre le nœud leader et le cluster, provoquant des pannes de nœud et des problèmes de disponibilité du réseau.
Cette vulnérabilité a été signalée pour la première fois par Temporal le 9 avril. Anza a ensuite publié la version v2.2.8 le 11 avril pour corriger le problème en supprimant l'hypothèse d'alignement. Anza a confirmé que cette vulnérabilité n'a pas mis en danger la sécurité des fonds et a conseillé aux utilisateurs de désactiver la fonction --transaction-structure view et de mettre à jour vers la version corrigée.
Source de l'information : Wu Shuo