16 Nisan 2025 tarihinde Anza GitHub Güvenlik Danışma kanalına Solana ekosisteminde Token-2022 gizli transferlerini etkileyen potansiyel bir güvenlik açığı bildirildi. Açıklamada, ZK ElGamal Proof programında doğrulama sürecine dair önemli bir açık bulunduğu ve bununla ilgili bir kavram kanıtının (PoC) paylaşıldığı belirtildi. Henüz bu açığa yönelik herhangi bir kötüye kullanım tespit edilmemiş olsa da, Solana geliştiricileri hızlı bir müdahaleyle riskin büyümesini engelledi.
Anza, Firedancer ve Jito mühendislerinden oluşan ekip, bildirimin ardından konuyu derhal incelemeye aldı ve açığın sıfır bilgi (zero-knowledge) ispatlarını doğrulayan ZK ElGamal Proof programında, doğrulama mantığında kritik bir eksik bulunduğunu doğruladı. Bu eksik, Fiat-Shamir dönüşüm sürecinde bazı matematiksel bileşenlerin hash işlemine dahil edilmemesinden kaynaklanıyordu. Bu durum, saldırganların doğrulama sürecini manipüle ederek sahte kanıtlarla izinsiz token basımı ya da hesaplardan yetkisiz çekim yapması gibi işlemleri gerçekleştirmesine olanak tanıyabilirdi.
Solana geliştirici ekibinden hızlı müdahale
Geliştirici ekip, vakit kaybetmeden bir yama (patch) hazırladı. Hazırlanan yama, 17 Nisan 2025 tarihi itibariyle Solana Foundation ve Jito ekipleri tarafından doğrulayıcı (validator) operatörlerine özel olarak iletilmeye başlandı. Aynı günün ilerleyen saatlerinde kod tabanının başka bir bölümünde benzer bir açık daha tespit edildi ve bu alan için ikinci bir yama hazırlandı. Her iki yama da Asymmetric Research, Neodyme ve OtterSec gibi bağımsız güvenlik firmaları tarafından denetlenerek doğrulayıcılara dağıtıldı.
18 Nisan saat geç saatlerde ağdaki stake gücünün süper çoğunluğu yamaları uygulamış durumdaydı. Takip eden saatlerde Discord üzerinden kamuoyuna “şu anda yamalar aktif şekilde çalışıyor ve ağda herhangi bir fon riski bulunmuyor.” Şeklinde resmi duyuru yapılarak güvenliğin sağlandığına ilişkin teminat verildi.
Açığın yalnızca ZK ElGamal Proof programını etkilediği belirtilirken, Token-2022 programında herhangi bir güncellemeye gerek kalmadığı bildirildi.
