Un défaut zéro-jour sévère dans le transfert confidentiel de la norme token-2022 a été détecté

Les transferts secrets token-2022 axés sur la vie privée, qui utilisent des preuves de connaissances zéro pour préserver le secret des transactions, auraient été liés à la question

A severe zero-day flaw in the Token-2022 standard’s confidential transfer was detected by the Solana Foundation on April 16, 2025. The vulnerability enabled attackers to manipulate zero-knowledge proofs, which could lead to unauthorized token minting or theft of user assets.

Une faille zéro-jour sévère dans le transfert confidentiel de la norme du Token-2022 a été détectée par la Fondation Solana le 16 avril 2025. La vulnérabilité a permis aux attaquants de manipuler des preuves de connaissances zéro, ce qui pourrait conduire à une frappe de jeton non autorisée ou à un vol d'actifs utilisateur.

While the issue was quickly resolved, with a fix being distributed within two days, the response has sparked a conversation about centralization in the Solana ecosystem.

Bien que le problème ait été rapidement résolu, un correctif étant distribué dans les deux jours, la réponse a déclenché une conversation sur la centralisation dans l'écosystème de Solana.

As per reports, the issue was linked to privacy-focused Token-2022 secret transfers, which use zero-knowledge proofs to preserve transaction secrecy. The flaw, if exploited, could allow an actor to mint an unlimited supply of tokens or drain assets from user accounts. Fortunately, no funds were lost in the incident.

Selon les rapports, le problème était lié aux transferts secrètes token-2022 axés sur la vie privée, qui utilisent des preuves de connaissances zéro pour préserver le secret des transactions. La faille, si elle est exploitée, pourrait permettre à un acteur de frapper une fourniture illimitée de jetons ou de vider les actifs des comptes d'utilisateurs. Heureusement, aucun fonds n'a été perdu dans l'incident.

Key contributors, including Anza, Firedancer, Jito, Asymmetric Research, Neodyme, and OtterSec, worked in coordinated efforts to patch the vulnerability. By April 18, the majority of validators had adopted the updated version of the code, securing the network from possible exploits. The Solana Foundation detailed the effectiveness of this response in a detailed post-mortem published on May 2.

Les principaux contributeurs, notamment ANZA, Firedancer, Jito, AsyMetric Research, Neodyme et Ottersec, ont travaillé dans des efforts coordonnés pour corriger la vulnérabilité. Au 18 avril, la majorité des validateurs avaient adopté la version mise à jour du code, sécurisant le réseau à partir d'éventuels exploits. La Fondation Solana a détaillé l'efficacité de cette réponse dans un post mortem détaillé publié le 2 mai.

But the private handling of the issue has also come under fire. Some argue that this undermines transparency as the Foundation chose not to disclose the vulnerability publicly until the fix was implemented.

Mais le traitement privé du problème a également été critiqué. Certains soutiennent que cela sape la transparence comme la fondation a choisi de ne pas divulguer publiquement la vulnérabilité jusqu'à la mise en œuvre du correctif.

This approach has been criticized by some on platforms like X as it highlights centralization risks, given that a coordinated action of a handful of validators would raise questions about the decentralized nature of Solana.

Cette approche a été critiquée par certaines sur des plateformes comme X car elle met en évidence les risques de centralisation, étant donné qu'une action coordonnée d'une poignée de validateurs soulèverait des questions sur la nature décentralisée de Solana.

Rapid Fix, Hidden Risks

Correction rapide, risques cachés

The Solana Foundation also published a post-mortem detailing the timeline of the incident. The vulnerability was detected on April 16, and we started to develop the solution right away. The patch was rolled out within 48 hours, and the network was stable. The report also confirmed that no user funds were lost, and the feature that allows users to conduct confidential transfers was secured against potential abuse.

La Fondation Solana a également publié un post-mortem détaillant le calendrier de l'incident. La vulnérabilité a été détectée le 16 avril et nous avons commencé à développer la solution immédiatement. Le patch a été déployé dans les 48 heures et le réseau était stable. Le rapport a également confirmé qu'aucun fonds d'utilisateurs n'avait été perdu et la fonctionnalité qui permet aux utilisateurs de effectuer des transferts confidentiels a été assuré contre les abus potentiels.

The resolution turned out successfully, but the lack of immediate public disclosure has stirred up the debate. And some stakeholders are concerned that users weren’t alerted to the risks before the fix went live, because the fix was rushed into place in a two-day window. They argue that this opacity could undermine the trust in Solana’s decentralization credentials as the platform is facing increasing regulatory scrutiny.

La résolution s'est avérée avec succès, mais le manque de divulgation publique immédiate a suscité le débat. Et certaines parties prenantes craignent que les utilisateurs n'étaient pas alertés aux risques avant la mise en ligne du correctif, car le correctif a été précipité dans une fenêtre de deux jours. Ils soutiennent que cette opacité pourrait saper la confiance dans les références de décentralisation de Solana alors que la plate-forme est confrontée à un examen réglementaire croissant.

As per a 2023 audit by Halborn, the Token-2022 program had vulnerabilities that allowed users to bypass transfer fees or move non-transferable tokens. These conflicts were settled, but the recent case highlights the lasting struggles of keeping safety when working on a quick-paced blockchain world.

Selon un audit 2023 de Halborn, le programme Token-2022 avait des vulnérabilités qui ont permis aux utilisateurs de contourner les frais de transfert ou de déplacer des jetons non transférables. Ces conflits ont été réglés, mais le cas récent met en évidence les difficultés durables de maintenir la sécurité lorsqu'ils travaillent sur un monde de blockchain rapide.

Also, the Foundation’s decision to put speed over transparency has been compared by some to the 2022 Terra–Luna collapse, which resulted in the loss of trust in centralized decision-making in blockchain networks. Solana’s situation may be different, but the incident illustrates that security and openness are two sides of the same coin.

De plus, la décision de la fondation de mettre la vitesse sur la transparence a été comparée par certains à l'effondrement de Terra-Luna 2022, ce qui a entraîné la perte de confiance dans la prise de décision centralisée dans les réseaux de blockchain. La situation de Solana peut être différente, mais l'incident illustre que la sécurité et l'ouverture sont les deux faces d'une même pièce.

Centralization Concerns Take Center Stage

Les préoccupations de centralisation prennent le devant de la scène

Solana’s decentralized structure has raised questions after swift coordination among validators. In a May 5 post on X, Neoma Ventures expressed concern about the fact that a small group was able to make so many changes so quickly, which raised the question of whether the level of centralization behind that would run contrary to the principles of blockchain technology. It is also in line with broader debates within the crypto community about governance and control.

La structure décentralisée de Solana a soulevé des questions après une coordination rapide entre les validateurs. Dans un poste du 5 mai sur X, Neoma Ventures s'est exprimée à ce qu'un petit groupe ait pu apporter autant de changements si rapidement, ce qui a soulevé la question de savoir si le niveau de centralisation derrière qui serait contraire aux principes de la technologie de la blockchain. Il est également conforme aux débats plus larges au sein de la communauté cryptographique sur la gouvernance et le contrôle.

Solana’s reliance on a proof-of-stake model as outlined in its white paper has long been discussed. The model allows for high scalability and speed at the expense of concentrating influence on a smaller number of validators. The recent incident has resulted in increased pressure on transparency and better disclosure standards to regain trust from users.

La dépendance de Solana à l'égard d'un modèle de preuve de mise en scène telles que décrites dans son livre blanc a longtemps été discutée. Le modèle permet une évolutivité et une vitesse élevées au détriment de la concentration de l'influence sur un plus petit nombre de validateurs. L'incident récent a entraîné une pression accrue sur la transparence et de meilleures normes de divulgation pour regagner la confiance des utilisateurs.