Новости Gate.io News bot сообщают, что по словам У, Anza обнаружила уязвимость в предкомпилированных программах ed25519 и secp256k1 в Виртуальной машине Solana (SVM). Эта уязвимость возникает на узлах валидаторов, работающих на версии v2.2 и с включенным --transaction-structure view.
Из-за отсутствия гарантии выравнивания в новом представлении транзакций (transaction-view) и предположения, что данные команд транзакций выровнены на 2 байта, возникло несоответствие банковских хэшей между ведущим узлом и кластером, что привело к сбоям узлов и проблемам с доступностью сети.
Уязвимость была впервые сообщена Temporal 9 апреля. Anza затем выпустила версию v2.2.8 11 апреля для устранения проблемы, удалив предположение о выравнивании. Anza подтвердила, что эта уязвимость не угрожает безопасности средств, и рекомендовала пользователям отключить функцию --transaction-structure view и обновиться до исправленной версии.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Уязвимость предкомпилированной программы Виртуальной машины Solana была исправлена.
Новости Gate.io News bot сообщают, что по словам У, Anza обнаружила уязвимость в предкомпилированных программах ed25519 и secp256k1 в Виртуальной машине Solana (SVM). Эта уязвимость возникает на узлах валидаторов, работающих на версии v2.2 и с включенным --transaction-structure view.
Из-за отсутствия гарантии выравнивания в новом представлении транзакций (transaction-view) и предположения, что данные команд транзакций выровнены на 2 байта, возникло несоответствие банковских хэшей между ведущим узлом и кластером, что привело к сбоям узлов и проблемам с доступностью сети.
Уязвимость была впервые сообщена Temporal 9 апреля. Anza затем выпустила версию v2.2.8 11 апреля для устранения проблемы, удалив предположение о выравнивании. Anza подтвердила, что эта уязвимость не угрожает безопасности средств, и рекомендовала пользователям отключить функцию --transaction-structure view и обновиться до исправленной версии.
Источник сообщения: У Суо