Bot de notícias Gate.io, segundo relatos de Wu, Anza descobriu vulnerabilidades nos pré-compilados ed25519 e secp256k1 na Máquina virtual Solana (SVM). A vulnerabilidade ocorre em nós validadores que estão executando a versão v2.2 e têm a opção --transaction-structure view ativada.
Devido à falta de garantia de alinhamento na nova visualização de transações (transaction-view), e dado que os dados de instrução de transação são supostos como alinhados a 2 bytes, ocorre uma discrepância no hash bancário entre o nó líder e o cluster, causando falhas nos nós e problemas de disponibilidade da rede.
A vulnerabilidade foi relatada pela primeira vez pela Temporal em 9 de abril. A Anza lançou a versão v2.2.8 em 11 de abril para corrigir o problema, removendo a suposição de alinhamento. A Anza confirmou que essa vulnerabilidade não comprometeu a segurança dos fundos e recomendou aos usuários que desativassem a funcionalidade --transaction-structure view e atualizassem para a versão corrigida.
O conteúdo serve apenas de referência e não constitui uma solicitação ou oferta. Não é prestado qualquer aconselhamento em matéria de investimento, fiscal ou jurídica. Consulte a Declaração de exoneração de responsabilidade para obter mais informações sobre os riscos.
Vulnerabilidade do programa pré-compilado da Máquina virtual Solana foi corrigida
Bot de notícias Gate.io, segundo relatos de Wu, Anza descobriu vulnerabilidades nos pré-compilados ed25519 e secp256k1 na Máquina virtual Solana (SVM). A vulnerabilidade ocorre em nós validadores que estão executando a versão v2.2 e têm a opção --transaction-structure view ativada.
Devido à falta de garantia de alinhamento na nova visualização de transações (transaction-view), e dado que os dados de instrução de transação são supostos como alinhados a 2 bytes, ocorre uma discrepância no hash bancário entre o nó líder e o cluster, causando falhas nos nós e problemas de disponibilidade da rede.
A vulnerabilidade foi relatada pela primeira vez pela Temporal em 9 de abril. A Anza lançou a versão v2.2.8 em 11 de abril para corrigir o problema, removendo a suposição de alinhamento. A Anza confirmou que essa vulnerabilidade não comprometeu a segurança dos fundos e recomendou aos usuários que desativassem a funcionalidade --transaction-structure view e atualizassem para a versão corrigida.
Fonte da mensagem: Wu Shuo