Solana снова на грани: zero-day, безлимитный минт и старая как мир схема
Весна 2025. Solana выкатывает классический сюжет: zero-day баг, который мог позволить минтить токены без ограничений, плюс — сладенькая опция воровать чужие средства. Реакция публики в CryptoPanic не впечатляет: «lol» (5 раз), «negative» (2), и пара человек, которым это вообще понравилось. Что-то между «ну бывает» и «еее, пофиг, живём». Но нас волнует не паника толпы, а точка зрения оператора, который привык строить бизнес поверх багов и лазеек.
В чём соль бага, или Почему не жалко держателей SOL
Что лежит под капотом — уязвимость в ZK ElGamal Proof, на котором строились «конфиденциальные» трансферы Solana. Можно было минтить сколько угодно токенов, перемешивать всё по-умному — и никто бы не заметил. Стандартный баг 2018 года на новой обёртке. Solana Foundation успела закрыть дыру, пока она не ушла в паблик, но если вы следите за схемками и приватами — голова уже забита вопросом: сколько «минтеров» успело снять сливки за три недели?
Для нас это не просто техновыверт. Это жирнейший намёк: если в 2025-м такие zero-day живут три недели на топчейне, то весь DeFi по-прежнему работает по законам подпольной e-commerce. Проверять бабки на свежесть, диверсифицировать, мониторить аномальные мовы в логе — это не паранойя, это гигиена.
Арбитраж и мультиакк: Как играют в такие новости операторы
Вот новость подана из руки Catenaa, типичный инфоразогрев — запоздалое «всё хорошо», чтобы не трясли заново рынки. Но любой арбитражник видит между строк: инсайд сливали в частные чатинки, баг либо тестили команда, либо уже сдавали на частный багбаунти. А пока толпе показывают «чинно», в фоне раскручивают новый камин-аут с ZK-сервисами, где приватность = дырка.
Умные мультиаккаунтеры, видевшие такой слив не раз, делают выводы: еще не поздно запускать тестовые контуры для обнаружения багов «через жопу», мониторить гитхаб, разбирать коммиты, вытаскивать эксплойты на свежих релизах. Арбитраж? Да, на низколиквидных маркерах, где уязвимость отыгрывают технично, пока mainnet не в овершуме. Но главное — это переоценка рисков для своих: никогда не кладём больше одной линии на один протокол после новостей о zero-day, и не держим запасы там, где модерация доступа = чат поддержки в Телеге.
Кто выигрывает — и зачем эти новости вообще выходят
В публичку это вкинуто с задержкой. Купировать панику, дать чуток фона для формата «мы чётко фиксируем» и поддержать фантомную уверенность. Кому это выгодно? Тем самым, кто уже оцифровал баг, пропушил через мосты, отстоял новый пул на р2р, и готов вынуть вывеску: «Зато теперь всё хорошо, налетай, солана чиста!»
Кратко для своих: Solana не умирает, просто напоминает, что мы все в одном большом CTF. Запоздалые новости всегда выгодны только тем, кто узнал первым.