Les développeurs de Solana ont discrètement corrigé une vulnérabilité critique

Les développeurs de Solana ont discrètement corrigé une vulnérabilité critique de zéro-jours qui aurait pu permettre aux attaquants de front des jetons illimités et des fonds SIPHON à partir de comptes d'utilisateurs.

Solana developers have quietly patched a critical zero-day vulnerability that could have allowed an attacker to mint an unlimited amount of tokens and steal funds from user accounts.

Les développeurs de Solana ont discrètement corrigé une vulnérabilité critique de zéro jour qui aurait pu permettre à un attaquant de frapper une quantité illimitée de jetons et de voler des fonds à des comptes d'utilisateurs.

The flaw, which was discovered on April 16, 2025, affects core cryptographic components of the Token-2022 and ZK ElGamal Proof programs, both of which are essential for Solana’s confidential token architecture.

La faille, découverte le 16 avril 2025, affecte les composantes cryptographiques de base des programmes Token-2022 et ZK Elgamal Proof, qui sont tous deux essentiels pour l'architecture de jeton confidentielle de Solana.

According to security researchers, the vulnerability arises from a missing algebraic component in the Fiat-Shamir Transformation’s transcript generation for converting interactive cryptographic proofs into non-interactive ones. This omission creates an avenue to forge proofs that would bypass verification, leading to the possibility of forging tokens and potentially facilitating fraudulent fund withdrawal.

Selon les chercheurs en sécurité, la vulnérabilité découle d'une composante algébrique manquante dans la génération de transcripture de la transformation de Fiat-Shamir pour convertir les preuves cryptographiques interactives en non interactifs. Cette omission crée une avenue pour forger des preuves qui contourneraient la vérification, conduisant à la possibilité de forger des jetons et de faciliter potentiellement le retrait de fonds frauduleux.

The implications of a successful exploit are serious. It would erode trust in the Solana network and could cause widespread disruption to decentralized applications that rely on confidential tokens for functionality.

Les implications d'un exploit réussi sont sérieuses. Il éroderait la confiance dans le réseau Solana et pourrait entraîner une perturbation généralisée des applications décentralisées qui s'appuient sur des jetons confidentiels pour les fonctionnalités.

However, the rapid discovery of the vulnerability by blockchain security firms and the coordinated response from Solana’s core development teams helped to avert what could have been a major incident.

Cependant, la découverte rapide de la vulnérabilité par les sociétés de sécurité de la blockchain et la réponse coordonnée des équipes de développement de base de Solana ont contribué à éviter ce qui aurait pu être un incident majeur.

To address the vulnerability, Anza, Firedancer, and Jito—Solana’s core development teams—worked together with several prominent blockchain security auditors, including OtterSec, Asymmetric Research, and Neodyme. These groups quickly investigated the flaw and developed a patch.

Pour aborder la vulnérabilité, Anza, Firedancer et Jito - les principales équipes de développement de Solana - travaillées avec plusieurs éminents auditeurs de sécurité de la blockchain, notamment Ottersec, Asymétric Research et Neodyme. Ces groupes ont rapidement étudié la faille et développé un patch.

This patch was then privately distributed to a group of select validators on April 17. Within 24 hours, more than 70% of the network’s stake had implemented the fix, surpassing the supermajority threshold required for network-wide safety. Only after this critical majority had the time to install the update did they begin the process of public disclosure.

Ce correctif a ensuite été distribué privé à un groupe de validateurs sélectionnés le 17 avril. Dans les 24 heures, plus de 70% de la participation du réseau avait mis en œuvre le correctif, dépassant le seuil de supermajorité requis pour la sécurité à l'échelle du réseau. Ce n'est qu'après que cette majorité critique ait eu le temps d'installer la mise à jour qu'ils ont commencé le processus de divulgation publique.

At the time of reporting, no exploitation of the vulnerability has been detected. However, the strategy of distributing the patch privately before going public has sparked mixed reactions.

Au moment du reportage, aucune exploitation de la vulnérabilité n'a été détectée. Cependant, la stratégie de distribution du patch en privé avant de devenir public a déclenché des réactions mitigées.

Those in favor of this approach highlight the urgency of patching the vulnerability to protect the network and its users from potential harm. They add that the rapid adoption of the fix by validators demonstrates the efficiency of Solana’s ecosystem.

Ceux qui sont favorables à cette approche mettent en évidence l'urgence de correction de la vulnérabilité pour protéger le réseau et ses utilisateurs contre les dommages potentiels. Ils ajoutent que l'adoption rapide du correctif par les validateurs démontre l'efficacité de l'écosystème de Solana.

Those critical of this strategy claim that it deviates from the decentralized ideals on which cryptocurrencies are founded. They highlight the lack of transparency throughout the process and the potential for an imbalance of power to emerge among a few core development teams and validators.

Ceux qui critiquent cette stratégie affirment qu'il s'écarte des idéaux décentralisés sur lesquels les crypto-monnaies sont fondées. Ils mettent en évidence le manque de transparence tout au long du processus et le potentiel d'un déséquilibre de pouvoir à émerger parmi quelques équipes de développement et validateurs de base.

This incident showcases a key challenge faced by modern blockchain ecosystems: how to balance rapid security response with transparent, decentralized governance.

Cet incident présente un défi clé rencontré par les écosystèmes de blockchain modernes: comment équilibrer une réponse de sécurité rapide avec une gouvernance transparente et décentralisée.

In highly performant and complex chains like Solana, time-sensitive vulnerabilities may demand swift, centralized coordination, which can sometimes come at the cost of broader community involvement.

Dans des chaînes hautement performantes et complexes comme Solana, les vulnérabilités sensibles au temps peuvent exiger une coordination rapide et centralisée, qui peut parfois se faire au prix d'une implication communautaire plus large.

As Solana continues to mature, how it navigates similar crises will likely shape industry perceptions of its trust model, validator structure, and governance philosophy. For now, the swift resolution appears to have prevented potential catastrophe, but questions about the long-term implications of such interventions remain.

Alors que Solana continue de mûrir, la façon dont elle navigue dans des crises similaires façonnera probablement les perceptions de l'industrie de son modèle de confiance, de sa structure validatrice et de sa philosophie de gouvernance. Pour l'instant, la résolution rapide semble avoir empêché une catastrophe potentielle, mais des questions sur les implications à long terme de ces interventions demeurent.