Kritische Sicherheitsfehler in Solana Labs 'Token-2022- und ZK Elgamal Proof-Programmen

Am 16. April 2025 identifizierten Sicherheitsforscher eine „Zero-Day“ -Verfälligkeit, die sich auf die Proof-Programme von Token-2022 und ZK Elgamal aus Solana auswirkte.

A critical security flaw affecting the Token-2022 and ZK ElGamal Proof programs of Solana was identified on April 16, 2025, by security researchers.

Ein kritischer Sicherheitsfehler, der die Programme zur Proof-Proof von Token-2022 und ZK Elgamal aus Solana betrifft, wurde am 16. April 2025 von Sicherheitsforschern identifiziert.

The vulnerability, which theoretically allowed for unlimited minting of confidential Token-22 tokens, an extension based on zero-knowledge disclosure proof (zk-proofs), has been patched, according to a post-mortem report by Solana Foundation.

Die Verwundbarkeit, die theoretisch ein unbegrenztes Messen vertraulicher Token-22-Token zulässt, eine Erweiterung, die auf Offenlegungsnachweis (ZK-Proofs) auf der Basis von Null-Knowledge-Beweisen basiert, wurde gemäß einem Post-Mortem-Bericht der Solana Foundation gepatcht.

The issue stemmed from a hashing error in certain mathematical components during the Fiat-Shamir transformation, weakening the cryptographic verification of proofs and potentially opening the door for malicious actors to forge proofs and mint tokens at will.

Das Problem ergab sich auf einen Hashing-Fehler in bestimmten mathematischen Komponenten während der Fiat-Shamir-Transformation, schwächte die kryptografische Überprüfung von Beweisen und öffnet möglicherweise die Tür für böswillige Schauspieler, um Beweise und Münz-Token nach Belieben zu erfassen.

However, no exploitation was detected before the bug was fixed, and development teams responded quickly, deploying a patch within 48 hours through a coordinated validator update.

Es wurde jedoch keine Ausbeutung festgestellt, bevor der Fehler behoben wurde, und Entwicklungsteams reagierten schnell und bereiteten einen Patch innerhalb von 48 Stunden über ein koordiniertes Validator -Update ein.

Despite this prompt response, the handling of this incident has drawn harsh criticisms within the crypto community, with some highlighting the lack of transparency from the Solana Foundation in coordinating with validators.

Trotz dieser sofortigen Reaktion hat der Umgang mit diesem Vorfall harte Kritikpunkte in der Krypto -Community gezogen, wobei einige die mangelnde Transparenz der Solana Foundation bei der Koordinierung mit Validatoren hervorheben.

“Why does one entity have all validators’ contact details? What discussions take place in these private channels?” questioned a Curve Finance contributor, fearing potential censorship or an orchestrated rollback of the network.

"Warum hat ein Unternehmen alle Kontaktdaten aller Validatoren? Welche Diskussionen finden in diesen privaten Kanälen statt?" stellte einen Kursförderer in Frage, der potenzielle Zensur oder eine orchestrierte Rollback des Netzwerks fürchtete.

Solana Labs co-founder, Anatoly Yakovenko, tried to downplay the situation by comparing this emergency to the coordination capability of key Ethereum players in case of critical bugs. But this analogy was strongly contested by a prominent Ethereum community member, Ryan Berckmans.

Der Mitbegründer von Solana Labs, Anatoly Yakovenko, versuchte, die Situation herunterzuspielen, indem er diesen Notfall mit der Koordinationsfähigkeit der wichtigsten Ethereum-Spieler bei kritischen Fehlern verglichen hat. Diese Analogie wurde jedoch stark von einem prominenten Mitglied der Ethereum -Gemeinschaft, Ryan Berckmans, bestritten.

According to Berckmans, the fundamental difference lies in the diversity of clients. While Geth represents a maximum of 41% of the Ethereum market, Solana currently has only one fully operational client: Agave.

Laut Berckmans liegt der grundlegende Unterschied in der Vielfalt der Kunden. Während Geth maximal 41% des Ethereum -Marktes ausmacht, hat Solana derzeit nur einen voll operativen Kunden: Agave.

People are missing the important points in this Solana emergency fork situation

Menschen fehlen die wichtigen Punkte in dieser Solana Notfall -Fork -Situation

1) Eth has client diversity and a protocol spec steered by a meaningful research community.

1) ETH hat die Diversität der Kunden und eine von einer sinnvolle Forschungsgemeinschaft gesteuerte Protokollspezifikation.

The most popular eth client, geth, has at most 41% market share.

Der beliebteste ETH -Kunde, Geth, hat höchstens 41% Marktanteile.

Sol has one prod client (just one; don't integrate yet!) and no real protocol spec research community.

Sol hat einen Prod -Client (nur einen; integrieren noch nicht!) Und keine wirkliche Protokoll -Spezifikations -Forschungsgemeinschaft.

2) This isn't an anomaly. It's a critical bug in a core crypto primitive used across many chains.

2) Dies ist keine Anomalie. Es ist ein kritischer Fehler in einem Kernkrypto -Primitiv, der in vielen Ketten verwendet wird.

According to Berckmans, the integrality of Agave makes any bug a direct vulnerability of the Solana protocol, rendering the separation between application and protocol nearly meaningless.

Laut Berckmans macht die Integralität von Agave jeden Fehler zu einer direkten Verwundbarkeit des Solana -Protokolls, wodurch die Trennung zwischen Anwendung und Protokoll nahezu bedeutungslos wird.

“On Solana, a bug in the sole available client is, de facto, a protocol bug. Modifying the client is equivalent to modifying the protocol. There is no functional separation,” he lamented.

„Bei Solana ist ein Fehler im alleinigen Client de facto ein Protokollfehler. Das Ändern des Clients ist gleichbedeutend mit der Änderung des Protokolls. Es gibt keine funktionale Trennung“, beklagte er.

However, Solana Foundation is banking on the arrival of the alternative client Firedancer in 2025, aimed at enhancing network resilience and robustness. But according to Berckmans, Solana would need at least three distinct clients to claim true protocol-level decentralization.

Die Solana Foundation setzt sich jedoch bei der Ankunft des alternativen Client Firedancer im Jahr 2025 ein, um die Belastbarkeit und Robustheit der Netzwerke zu verbessern. Laut Berckmans müsste Solana jedoch mindestens drei verschiedene Klienten benötigen, um eine echte Dezentralisierung auf Protokollebene zu beanspruchen.

The Solana security flaw highlights the unique challenges of centralized-governance blockchains, a major concern for French and European stakeholders – regulators, investors, or developers.

Der Solana-Sicherheitsfehler unterstreicht die einzigartigen Herausforderungen zentraler Blockchains, ein Hauptanliegen für französische und europäische Stakeholder-Aufsichtsbehörden, Investoren oder Entwickler.

As Europe refines the MiCA regulatory framework, the robustness of the underlying infrastructure of issued tokens becomes critically important. This incident could thus serve as a lesson for future certifications or criteria for integrating digital asset projects.

Da Europa das Marka -Regulierungsrahmen verfeinert, wird die Robustheit der zugrunde liegenden Infrastruktur der ausgegebenen Token von entscheidender Bedeutung. Dieser Vorfall könnte somit als Lektion für zukünftige Zertifizierungen oder Kriterien für die Integration digitaler Asset -Projekte dienen.

While Solana demonstrated exemplary responsiveness, the method employed raises legitimate concerns about the network’s technical governance. Client diversity, transparency in incident management, and the ability to weather crises without compromising neutrality are now crucial analytical criteria.

Während Solana eine vorbildliche Reaktionsfähigkeit zeigte, wirft die angewandte Methode legitime Bedenken hinsichtlich der technischen Regierungsführung des Netzwerks aus. Kundenvielfalt, Transparenz im Incident -Management und die Fähigkeit, Krisen ohne Kompromisse bei der Neutralität zu verwittern, sind jetzt entscheidende analytische Kriterien.

If you can call up the validator nodes to coordinate a critical zero day bug fix, you can call them up to do whatever you want. This is NOT the decentralisation we should be striving for.

Wenn Sie die Validator -Knoten anrufen können, um eine kritische Fehlerbehebung mit dem Null -Day -Fehler zu koordinieren, können Sie sie anrufen, um alles zu tun, was Sie wollen. Dies ist nicht die Dezentralisierung, nach der wir streben sollten.

And CT is celebrating this as "security is important" #Solana 🙄

Und CT feiert dies als "Sicherheit ist wichtig" #solana 🙄

The Solana security flaw is a wake-up call: the pursuit of performance and innovation cannot come at the expense of fundamental decentralization principles. An important reminder for the entire crypto ecosystem, at a time when issues of trust and security are more crucial than ever.

Der Solana-Sicherheitsfehler ist ein Weckruf: Das Streben nach Leistung und Innovation kann nicht auf Kosten der grundlegenden Dezentralisierungsprinzipien führen. Eine wichtige Erinnerung für das gesamte Krypto -Ökosystem in einer Zeit, in der Probleme des Vertrauens und der Sicherheit wichtiger sind als je zuvor.