吳說獲悉,Solana 基金會披露 ZK ElGamal Proof 原生程序出現第二個零知識驗證漏洞。安全研究員 suneal_eth 於 6 月 10 日報告漏洞,工程團隊確認可僞造隱私轉賬證明,並於 6 月 11 日通過多籤升級 Token-2022 程序,直接禁用 Confidential Transfers(隱私功能轉賬)。隨後官方緊急呼籲驗證節點升級 Agave / Jito-Solana v2.2.16 或 Firedancer v0.505.20216,並在主網 epoch 805(UTC 6 月 19 日 06:00)激活特性開關,徹底關閉 ZK ElGamal 程序,以待全面審計。官方強調鏈上尚無隱私轉賬規模化使用,暫無資金受損記錄。據瞭解,這是繼 4 月 16 日首個 ZK ElGamal 漏洞(已在 v2.1.21 / v2.2.11 熱修後解決)後,同一程序發生的第二起 Fiat-Shamir 哈希字段遺漏問題。基金會表示,重新啓用隱私轉賬至少需“數月”,待審計完成併發布安全版程序後,經治理流程再行激活。常規 SPL 代幣和普通交易不受影響。
