Solana LabsのToken-2022およびZK Elgamal Proofプログラムの重要なセキュリティの欠陥

2025年4月16日、セキュリティ研究者は、ソラナのトークン-2022およびZKエルガマルプルーチプログラムに影響を与える「ゼロデイ」の脆弱性を特定しました。

A critical security flaw affecting the Token-2022 and ZK ElGamal Proof programs of Solana was identified on April 16, 2025, by security researchers.

SolanaのToken-2022およびZK Elgamal Proofプログラムに影響を与える重要なセキュリティ上の欠陥は、2025年4月16日にセキュリティ研究者によって特定されました。

The vulnerability, which theoretically allowed for unlimited minting of confidential Token-22 tokens, an extension based on zero-knowledge disclosure proof (zk-proofs), has been patched, according to a post-mortem report by Solana Foundation.

Solana Foundationの事後報告書によると、ゼロ知識開示証明（ZKプルーフ）に基づく拡張機能である拡張機能であるConfidential Token-22 Tokensの無制限のミントを理論的に許可した脆弱性はパッチを適用されています。

The issue stemmed from a hashing error in certain mathematical components during the Fiat-Shamir transformation, weakening the cryptographic verification of proofs and potentially opening the door for malicious actors to forge proofs and mint tokens at will.

この問題は、フィアット・シャミール変換中の特定の数学コンポーネントのハッシュエラーに起因し、証明の暗号化の検証を弱め、悪意のある俳優が自由に証明とミントトークンを築くための扉を開く可能性があります。

However, no exploitation was detected before the bug was fixed, and development teams responded quickly, deploying a patch within 48 hours through a coordinated validator update.

ただし、バグが修正される前に搾取は検出されず、開発チームは迅速に対応し、調整されたバリデーターアップデートを通じて48時間以内にパッチを展開しました。

Despite this prompt response, the handling of this incident has drawn harsh criticisms within the crypto community, with some highlighting the lack of transparency from the Solana Foundation in coordinating with validators.

この迅速な対応にもかかわらず、この事件の取り扱いは、クリプトコミュニティ内で厳しい批判を集めており、検証療法者との調整においてソラナ財団からの透明性の欠如を強調しています。

“Why does one entity have all validators’ contact details? What discussions take place in these private channels?” questioned a Curve Finance contributor, fearing potential censorship or an orchestrated rollback of the network.

「なぜあるエンティティはすべてのバリデーターの連絡先の詳細を持っているのでしょうか？これらのプライベートチャネルでどのような議論が行われますか？」潜在的な検閲またはネットワークの編み込まれたロールバックを恐れて、カーブファイナンスの寄稿者に疑問を呈した。

Solana Labs co-founder, Anatoly Yakovenko, tried to downplay the situation by comparing this emergency to the coordination capability of key Ethereum players in case of critical bugs. But this analogy was strongly contested by a prominent Ethereum community member, Ryan Berckmans.

Solana Labsの共同設立者であるAnatoly Yakovenkoは、この緊急事態を、重大なバグの場合に主要なイーサリアムプレーヤーの調整能力と比較することにより、状況を軽視しようとしました。しかし、この類推は、著名なイーサリアムコミュニティのメンバーであるライアン・ベルクマンズによって強く争われていました。

According to Berckmans, the fundamental difference lies in the diversity of clients. While Geth represents a maximum of 41% of the Ethereum market, Solana currently has only one fully operational client: Agave.

Berckmansによると、根本的な違いはクライアントの多様性にあります。 GethはEthereum Marketの最大41％を占めていますが、Solanaには現在、完全に動作するクライアントが1つしかありません。

People are missing the important points in this Solana emergency fork situation

人々はこのソラナの緊急フォークの状況で重要なポイントを逃しています

1) Eth has client diversity and a protocol spec steered by a meaningful research community.

1）ETHには、有意義な研究コミュニティによって操縦されたクライアントの多様性とプロトコル仕様があります。

The most popular eth client, geth, has at most 41% market share.

最も人気のあるETHクライアントであるGethは、最大41％の市場シェアを持っています。

Sol has one prod client (just one; don't integrate yet!) and no real protocol spec research community.

Solには1つの製品クライアント（1つだけ、まだ統合しないでください！）と実際のプロトコルSPEC Researchコミュニティはありません。

2) This isn't an anomaly. It's a critical bug in a core crypto primitive used across many chains.

2）これは異常ではありません。これは、多くのチェーンで使用されるコア暗号原始の重要なバグです。

According to Berckmans, the integrality of Agave makes any bug a direct vulnerability of the Solana protocol, rendering the separation between application and protocol nearly meaningless.

Berckmansによると、Agaveの統合により、バグはSolanaプロトコルの直接的な脆弱性になり、アプリケーションとプロトコルの分離をほぼ無意味にします。

“On Solana, a bug in the sole available client is, de facto, a protocol bug. Modifying the client is equivalent to modifying the protocol. There is no functional separation,” he lamented.

「Solanaでは、唯一の利用可能なクライアントのバグは、事実上、プロトコルのバグです。クライアントの変更は、プロトコルの変更と同等です。機能的な分離はありません」と彼は嘆きました。

However, Solana Foundation is banking on the arrival of the alternative client Firedancer in 2025, aimed at enhancing network resilience and robustness. But according to Berckmans, Solana would need at least three distinct clients to claim true protocol-level decentralization.

ただし、Solana Foundationは、2025年に代替クライアントの射撃者が到着し、ネットワークの回復力と堅牢性を高めることを目的としています。しかし、Berckmansによると、Solanaは真のプロトコルレベルの分散化を主張するために少なくとも3つの異なるクライアントが必要になります。

The Solana security flaw highlights the unique challenges of centralized-governance blockchains, a major concern for French and European stakeholders – regulators, investors, or developers.

Solana Security Flawは、フランスとヨーロッパの利害関係者、規制当局、投資家、または開発者にとって大きな関心事である、集中型ガバナンスブロックチェーンのユニークな課題を強調しています。

As Europe refines the MiCA regulatory framework, the robustness of the underlying infrastructure of issued tokens becomes critically important. This incident could thus serve as a lesson for future certifications or criteria for integrating digital asset projects.

ヨーロッパがMICA規制の枠組みを改良するにつれて、発行されたトークンの基礎となるインフラストラクチャの堅牢性が非常に重要になります。したがって、この事件は、デジタル資産プロジェクトを統合するための将来の認定または基準のレッスンとして機能する可能性があります。

While Solana demonstrated exemplary responsiveness, the method employed raises legitimate concerns about the network’s technical governance. Client diversity, transparency in incident management, and the ability to weather crises without compromising neutrality are now crucial analytical criteria.

Solanaは模範的な反応性を示しましたが、採用されたこの方法は、ネットワークの技術ガバナンスに関する正当な懸念を引き起こします。クライアントの多様性、インシデント管理の透明性、および中立性を損なうことなく危機を浴びる能力は、現在、重要な分析基準です。

If you can call up the validator nodes to coordinate a critical zero day bug fix, you can call them up to do whatever you want. This is NOT the decentralisation we should be striving for.

Vardatorノードを呼び出して、クリティカルゼロデイバグ修正を調整できる場合は、必要なことを行うためにそれらを呼び出すことができます。これは私たちが努力すべき地方分権化ではありません。

And CT is celebrating this as "security is important" #Solana 🙄

そして、CTはこれを「セキュリティが重要だ」として祝います#solana🙄

The Solana security flaw is a wake-up call: the pursuit of performance and innovation cannot come at the expense of fundamental decentralization principles. An important reminder for the entire crypto ecosystem, at a time when issues of trust and security are more crucial than ever.

Solana Security Flawは、モーニングコールです。パフォーマンスとイノベーションの追求は、基本的な地方分権化の原則を犠牲にしてもたらすことはできません。信頼とセキュリティの問題がこれまで以上に重要であるとき、暗号エコシステム全体の重要なリマインダー。