Ву сказал, что Anza сообщила об уязвимости предварительной компиляции ed25519 и secp256k1 в виртуальной машине Solana (SVM), затрагивающей узлы валидаторов под управлением версии v2.2 с включенным представлением --transaction-structure. Уязвимость предполагает, что данные инструкции транзакции выровнены по 2 байта, что приводит к ошибке в новом представлении транзакции без гарантии выравнивания, что приводит к несовпадению между банковским хешем между узлом-лидером и кластером, что может привести к аварийному завершению работы узла и риску доступности сети. Об уязвимости сообщила компания Temporal 9 апреля, а 11 апреля Anza выпустила исправление версии 2.2.8, которое устранило предположение о выравнивании. Данная уязвимость не влияет на сохранность средств. Anza рекомендует отключить представление --transaction-structure и обновиться до исправленной версии.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Anza раскрыл уязвимость узлов в Solana, рекомендуется обновить до версии v2.2.8
Ву сказал, что Anza сообщила об уязвимости предварительной компиляции ed25519 и secp256k1 в виртуальной машине Solana (SVM), затрагивающей узлы валидаторов под управлением версии v2.2 с включенным представлением --transaction-structure. Уязвимость предполагает, что данные инструкции транзакции выровнены по 2 байта, что приводит к ошибке в новом представлении транзакции без гарантии выравнивания, что приводит к несовпадению между банковским хешем между узлом-лидером и кластером, что может привести к аварийному завершению работы узла и риску доступности сети. Об уязвимости сообщила компания Temporal 9 апреля, а 11 апреля Anza выпустила исправление версии 2.2.8, которое устранило предположение о выравнивании. Данная уязвимость не влияет на сохранность средств. Anza рекомендует отключить представление --transaction-structure и обновиться до исправленной версии.