Wu informó que Anza reportó una vulnerabilidad en los programas precompilados ed25519 y secp256k1 en la Máquina virtual Solana (SVM), que afecta a los nodos validador que ejecutan la versión v2.2 y tienen habilitada la vista --transaction-structure. La vulnerabilidad se debe a la suposición de que los datos de las instrucciones de transacción están alineados a 2 bytes, lo que provoca un error sin garantía de alineación en la nueva vista de transacción (transaction-view), causando una discrepancia en el hash del banco entre el nodo líder y el clúster, lo que puede ocasionar fallos en los nodos y riesgos para la disponibilidad de la red. La vulnerabilidad fue reportada el 9 de abril por Temporal, y Anza lanzó la versión v2.2.8 el 11 de abril para corregirla, eliminando la suposición de alineación. Esta vulnerabilidad no afecta la seguridad de los fondos. Anza recomienda deshabilitar la vista --transaction-structure y actualizar a la versión corregida.
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
Anza reveló una vulnerabilidad en los nodos de validación de Solana, recomienda actualizar a la v2.2.8
Wu informó que Anza reportó una vulnerabilidad en los programas precompilados ed25519 y secp256k1 en la Máquina virtual Solana (SVM), que afecta a los nodos validador que ejecutan la versión v2.2 y tienen habilitada la vista --transaction-structure. La vulnerabilidad se debe a la suposición de que los datos de las instrucciones de transacción están alineados a 2 bytes, lo que provoca un error sin garantía de alineación en la nueva vista de transacción (transaction-view), causando una discrepancia en el hash del banco entre el nodo líder y el clúster, lo que puede ocasionar fallos en los nodos y riesgos para la disponibilidad de la red. La vulnerabilidad fue reportada el 9 de abril por Temporal, y Anza lanzó la versión v2.2.8 el 11 de abril para corregirla, eliminando la suposición de alineación. Esta vulnerabilidad no afecta la seguridad de los fondos. Anza recomienda deshabilitar la vista --transaction-structure y actualizar a la versión corregida.