Flaw de sécurité critique dans les programmes de Token-2022 et ZK Elgamal Proofs de Solana Labs et ZK

Le 16 avril 2025, des chercheurs en sécurité ont identifié une vulnérabilité «zéro-day» affectant les programmes de token-2022 et ZK Elgamal Proof de Solana.

A critical security flaw affecting the Token-2022 and ZK ElGamal Proof programs of Solana was identified on April 16, 2025, by security researchers.

Une faille de sécurité critique affectant les programmes de Token-2022 et ZK Elgamal Proof de Solana a été identifiée le 16 avril 2025 par des chercheurs en sécurité.

The vulnerability, which theoretically allowed for unlimited minting of confidential Token-22 tokens, an extension based on zero-knowledge disclosure proof (zk-proofs), has been patched, according to a post-mortem report by Solana Foundation.

La vulnérabilité, qui a théoriquement permis la frappe illimitée des jetons de jeton-22 confidentiels, une extension basée sur une preuve de divulgation de connaissances zéro (Iproofs), a été corrigée, selon un rapport post-mortem de la Solana Foundation.

The issue stemmed from a hashing error in certain mathematical components during the Fiat-Shamir transformation, weakening the cryptographic verification of proofs and potentially opening the door for malicious actors to forge proofs and mint tokens at will.

Le problème provenait d'une erreur de hachage dans certains composants mathématiques pendant la transformation Fiat-Shamir, affaiblissant la vérification cryptographique des preuves et ouvrant potentiellement la porte aux acteurs malveillants pour forger des preuves et des jetons de menthe à volonté.

However, no exploitation was detected before the bug was fixed, and development teams responded quickly, deploying a patch within 48 hours through a coordinated validator update.

Cependant, aucune exploitation n'a été détectée avant que le bogue ne soit corrigé et les équipes de développement ont répondu rapidement, déploiement d'un correctif dans les 48 heures grâce à une mise à jour de validatrice coordonnée.

Despite this prompt response, the handling of this incident has drawn harsh criticisms within the crypto community, with some highlighting the lack of transparency from the Solana Foundation in coordinating with validators.

Malgré cette réponse rapide, le traitement de cet incident a suscité de sévères critiques au sein de la communauté cryptographique, certains mettant en évidence le manque de transparence de la Fondation Solana en coordonnant avec les validateurs.

“Why does one entity have all validators’ contact details? What discussions take place in these private channels?” questioned a Curve Finance contributor, fearing potential censorship or an orchestrated rollback of the network.

«Pourquoi une entité a-t-elle tous les coordonnées des validateurs? Quelles discussions ont lieu dans ces canaux privés?» a remis en question un contributeur de financement de la courbe, craignant la censure potentielle ou un recul orchestré du réseau.

Solana Labs co-founder, Anatoly Yakovenko, tried to downplay the situation by comparing this emergency to the coordination capability of key Ethereum players in case of critical bugs. But this analogy was strongly contested by a prominent Ethereum community member, Ryan Berckmans.

Le co-fondateur de Solana Labs, Anatoly Yakovenko, a tenté de minimiser la situation en comparant cette urgence à la capacité de coordination des principaux joueurs Ethereum en cas de bugs critiques. Mais cette analogie a été fortement contestée par un éminent membre de la communauté Ethereum, Ryan Berckmans.

According to Berckmans, the fundamental difference lies in the diversity of clients. While Geth represents a maximum of 41% of the Ethereum market, Solana currently has only one fully operational client: Agave.

Selon Berckmans, la différence fondamentale réside dans la diversité des clients. Alors que Geth représente un maximum de 41% du marché Ethereum, Solana n'a actuellement qu'un seul client entièrement opérationnel: Agave.

People are missing the important points in this Solana emergency fork situation

Les gens manquent les points importants de cette situation de fourche d'urgence Solana

1) Eth has client diversity and a protocol spec steered by a meaningful research community.

1) L'ETH a la diversité des clients et une spécification de protocole dirigé par une communauté de recherche significative.

The most popular eth client, geth, has at most 41% market share.

Le client ETH le plus populaire, Geth, a au plus 41% de part de marché.

Sol has one prod client (just one; don't integrate yet!) and no real protocol spec research community.

Sol a un client prod (juste un; n'intégrez pas encore!) Et aucune communauté de recherche sur les spécifications de protocole.

2) This isn't an anomaly. It's a critical bug in a core crypto primitive used across many chains.

2) Ce n'est pas une anomalie. C'est un bug critique dans une primitive crypto de base utilisée dans de nombreuses chaînes.

According to Berckmans, the integrality of Agave makes any bug a direct vulnerability of the Solana protocol, rendering the separation between application and protocol nearly meaningless.

Selon Berckmans, l'intégalité de l'agave fait de tout bug une vulnérabilité directe du protocole Solana, rendant la séparation entre l'application et le protocole presque dénué de sens.

“On Solana, a bug in the sole available client is, de facto, a protocol bug. Modifying the client is equivalent to modifying the protocol. There is no functional separation,” he lamented.

"Sur Solana, un bogue dans le seul client disponible est, de facto, un bogue de protocole. La modification du client équivaut à modifier le protocole. Il n'y a pas de séparation fonctionnelle", a-t-il déploré.

However, Solana Foundation is banking on the arrival of the alternative client Firedancer in 2025, aimed at enhancing network resilience and robustness. But according to Berckmans, Solana would need at least three distinct clients to claim true protocol-level decentralization.

Cependant, la Fondation Solana est mis sur l'arrivée du client alternatif Firedancer en 2025, visant à améliorer la résilience du réseau et la robustesse. Mais selon Berckmans, Solana aurait besoin d'au moins trois clients distincts pour revendiquer une véritable décentralisation au niveau du protocole.

The Solana security flaw highlights the unique challenges of centralized-governance blockchains, a major concern for French and European stakeholders – regulators, investors, or developers.

Le défaut de sécurité Solana met en évidence les défis uniques des blockchains centralisés de la gouvernance, une préoccupation majeure pour les parties prenantes françaises et européennes - régulateurs, investisseurs ou développeurs.

As Europe refines the MiCA regulatory framework, the robustness of the underlying infrastructure of issued tokens becomes critically important. This incident could thus serve as a lesson for future certifications or criteria for integrating digital asset projects.

Alors que l'Europe affine le cadre réglementaire MICA, la robustesse de l'infrastructure sous-jacente des jetons émises devient d'une importance cruciale. Cet incident pourrait ainsi servir de leçon pour les futures certifications ou critères d'intégration des projets d'actifs numériques.

While Solana demonstrated exemplary responsiveness, the method employed raises legitimate concerns about the network’s technical governance. Client diversity, transparency in incident management, and the ability to weather crises without compromising neutrality are now crucial analytical criteria.

Alors que Solana a démontré une réactivité exemplaire, la méthode employée soulève des préoccupations légitimes concernant la gouvernance technique du réseau. La diversité des clients, la transparence dans la gestion des incidents et la capacité de mélanger les crises sans compromettre la neutralité sont désormais des critères analytiques cruciaux.

If you can call up the validator nodes to coordinate a critical zero day bug fix, you can call them up to do whatever you want. This is NOT the decentralisation we should be striving for.

Si vous pouvez appeler les nœuds validateurs pour coordonner une correction critique de bug de jour zéro, vous pouvez les appeler pour faire ce que vous voulez. Ce n'est pas la décentralisation que nous devrions rechercher.

And CT is celebrating this as "security is important" #Solana 🙄

Et CT célèbre cela comme "la sécurité est importante" #solana 🙄

The Solana security flaw is a wake-up call: the pursuit of performance and innovation cannot come at the expense of fundamental decentralization principles. An important reminder for the entire crypto ecosystem, at a time when issues of trust and security are more crucial than ever.

Le défaut de sécurité Solana est un réveil: la poursuite de la performance et de l'innovation ne peut pas se faire au détriment des principes fondamentaux de décentralisation. Un rappel important pour l'ensemble de l'écosystème de la cryptographie, à un moment où les problèmes de confiance et de sécurité sont plus cruciaux que jamais.