Token-2022標準の機密転送における深刻なゼロデイの欠陥が検出されました

トランザクションの秘密を維持するためにゼロ知識の証明を使用したプライバシー中心のトークン-2022秘密譲渡は、この問題にリンクされていると言われています

A severe zero-day flaw in the Token-2022 standard’s confidential transfer was detected by the Solana Foundation on April 16, 2025. The vulnerability enabled attackers to manipulate zero-knowledge proofs, which could lead to unauthorized token minting or theft of user assets.

Token-2022 Standardの機密移転の深刻なゼロデイの欠陥は、2025年4月16日にSolana Foundationによって検出されました。脆弱性により、攻撃者はゼロ認識証明を操作でき、ユーザー資産の不正なトークンの鋳造または盗難につながる可能性があります。

While the issue was quickly resolved, with a fix being distributed within two days, the response has sparked a conversation about centralization in the Solana ecosystem.

この問題はすぐに解決され、2日以内に修正が分配されていますが、この回答はSolanaエコシステムの集中化に関する会話を引き起こしました。

As per reports, the issue was linked to privacy-focused Token-2022 secret transfers, which use zero-knowledge proofs to preserve transaction secrecy. The flaw, if exploited, could allow an actor to mint an unlimited supply of tokens or drain assets from user accounts. Fortunately, no funds were lost in the incident.

報告によると、この問題は、トランザクションの秘密を維持するためにゼロ知識証明を使用するプライバシー中心のトークン-2022秘密譲渡にリンクされていました。この欠陥は、悪用された場合、俳優がトークンの無制限の供給を鋳造したり、ユーザーアカウントから資産を排出できるようにすることができます。幸いなことに、事件では資金が失われませんでした。

Key contributors, including Anza, Firedancer, Jito, Asymmetric Research, Neodyme, and OtterSec, worked in coordinated efforts to patch the vulnerability. By April 18, the majority of validators had adopted the updated version of the code, securing the network from possible exploits. The Solana Foundation detailed the effectiveness of this response in a detailed post-mortem published on May 2.

Anza、Firedancer、Jito、非対称研究、Neodyme、Ottersecなどの主要な貢献者は、脆弱性にパッチを当てるための調整された努力に取り組みました。 4月18日までに、バリデーターの大部分はコードの更新バージョンを採用し、可能なエクスプロイトからネットワークを保護しました。 Solana Foundationは、5月2日に公開された詳細な死後のこの応答の有効性を詳述しました。

But the private handling of the issue has also come under fire. Some argue that this undermines transparency as the Foundation chose not to disclose the vulnerability publicly until the fix was implemented.

しかし、この問題のプライベートハンドリングも発生しています。財団は、修正が実装されるまで公に脆弱性を公開しないことを選択したため、これが透明性を損なうと主張する人もいます。

This approach has been criticized by some on platforms like X as it highlights centralization risks, given that a coordinated action of a handful of validators would raise questions about the decentralized nature of Solana.

このアプローチは、Xのようなプラットフォーム上の一部のプラットフォームによって批判されています。それは、一握りの有効化者の調整されたアクションがソラナの分散化された性質について疑問を提起することを考えると、集中化のリスクを強調しているためです。

Rapid Fix, Hidden Risks

迅速な修正、隠されたリスク

The Solana Foundation also published a post-mortem detailing the timeline of the incident. The vulnerability was detected on April 16, and we started to develop the solution right away. The patch was rolled out within 48 hours, and the network was stable. The report also confirmed that no user funds were lost, and the feature that allows users to conduct confidential transfers was secured against potential abuse.

Solana Foundationは、事件のタイムラインを詳述した死後も発表しました。脆弱性は4月16日に検出され、すぐにソリューションの開発を開始しました。パッチは48時間以内に展開され、ネットワークは安定していました。また、レポートは、ユーザーの資金が失われていないことを確認し、ユーザーが機密転送を行うことができる機能が潜在的な虐待に対して確保されたことを確認しました。

The resolution turned out successfully, but the lack of immediate public disclosure has stirred up the debate. And some stakeholders are concerned that users weren’t alerted to the risks before the fix went live, because the fix was rushed into place in a two-day window. They argue that this opacity could undermine the trust in Solana’s decentralization credentials as the platform is facing increasing regulatory scrutiny.

決議は正常に判明しましたが、即時の公開開示の欠如は議論をかき立てました。また、一部の利害関係者は、2日間のウィンドウで修正が駆け込まれたため、修正が公開される前にユーザーがリスクに注意を払っていないことを懸念しています。彼らは、この不透明度が、プラットフォームが規制の監視の増加に直面しているため、ソラナの分散化資格に対する信頼を損なう可能性があると主張しています。

As per a 2023 audit by Halborn, the Token-2022 program had vulnerabilities that allowed users to bypass transfer fees or move non-transferable tokens. These conflicts were settled, but the recent case highlights the lasting struggles of keeping safety when working on a quick-paced blockchain world.

Halbornによる2023年の監査によると、Token-2022プログラムには、ユーザーが転送料をバイパスしたり、譲渡不可能なトークンを移動したりすることができる脆弱性がありました。これらの紛争は解決されましたが、最近のケースは、迅速なペースのブロックチェーンの世界で作業する際に安全を維持するという永続的な闘争を強調しています。

Also, the Foundation’s decision to put speed over transparency has been compared by some to the 2022 Terra–Luna collapse, which resulted in the loss of trust in centralized decision-making in blockchain networks. Solana’s situation may be different, but the incident illustrates that security and openness are two sides of the same coin.

また、透明性を超える速度をかけるという財団の決定は、一部の人々によって2022年のTerra – Luna崩壊と比較されており、その結果、ブロックチェーンネットワークでの集中意思決定に信頼が失われました。ソラナの状況は異なるかもしれませんが、この事件は、セキュリティと開放性が同じコインの両側であることを示しています。

Centralization Concerns Take Center Stage

集中懸念が中心になります

Solana’s decentralized structure has raised questions after swift coordination among validators. In a May 5 post on X, Neoma Ventures expressed concern about the fact that a small group was able to make so many changes so quickly, which raised the question of whether the level of centralization behind that would run contrary to the principles of blockchain technology. It is also in line with broader debates within the crypto community about governance and control.

Solanaの分散構造は、バリッター間の迅速な調整の後、疑問を提起しました。 Xの5月5日の投稿で、Neoma Venturesは、小グループが非常に迅速に多くの変更を加えることができたという事実について懸念を表明し、その背後にある集中化のレベルがブロックチェーンテクノロジーの原則に反して実行されるかどうかの問題を提起しました。また、暗号コミュニティ内でガバナンスとコントロールに関するより広範な議論に沿っています。

Solana’s reliance on a proof-of-stake model as outlined in its white paper has long been discussed. The model allows for high scalability and speed at the expense of concentrating influence on a smaller number of validators. The recent incident has resulted in increased pressure on transparency and better disclosure standards to regain trust from users.

ホワイトペーパーで概説されているように、ソラナがホワイトペーパーで概説されているように、証明の証明モデルに依存していることは長い間議論されてきました。このモデルにより、少数のバリデーターに影響を集中することを犠牲にして、高いスケーラビリティと速度が可能になります。最近の事件により、透明性への圧力が高まり、ユーザーから信頼を取り戻すための開示基準が向上しました。