Solanaの開発者は、重要なゼロデイの脆弱性に慎重にパッチを当てています

Solanaの開発者は、攻撃者がユーザーアカウントから無制限のトークンとサイフォンファンドをミントすることを可能にする可能性のある重要なゼロデイの脆弱性に慎重にパッチを当ててきました。

Solana developers have quietly patched a critical zero-day vulnerability that could have allowed an attacker to mint an unlimited amount of tokens and steal funds from user accounts.

Solanaの開発者は、攻撃者が無制限の量のトークンを鋳造し、ユーザーアカウントから資金を盗むことができたかもしれない重要なゼロデイの脆弱性に静かにパッチを当てました。

The flaw, which was discovered on April 16, 2025, affects core cryptographic components of the Token-2022 and ZK ElGamal Proof programs, both of which are essential for Solana’s confidential token architecture.

2025年4月16日に発見された欠陥は、Token-2022およびZK Elgamal Proofプログラムのコア暗号化コンポーネントに影響を及ぼします。どちらもSolanaの機密トークンアーキテクチャに不可欠です。

According to security researchers, the vulnerability arises from a missing algebraic component in the Fiat-Shamir Transformation’s transcript generation for converting interactive cryptographic proofs into non-interactive ones. This omission creates an avenue to forge proofs that would bypass verification, leading to the possibility of forging tokens and potentially facilitating fraudulent fund withdrawal.

セキュリティ研究者によると、脆弱性は、インタラクティブな暗号化された証明を非相互作用のあるものに変換するためのFiat-Shamir変換の転写産物生成に欠落している代数成分から生じます。この省略は、検証をバイパスする証拠を築き、トークンを偽造し、不正な資金撤退を促進する可能性につながる道を築く道を作り出します。

The implications of a successful exploit are serious. It would erode trust in the Solana network and could cause widespread disruption to decentralized applications that rely on confidential tokens for functionality.

エクスプロイトの成功の意味は深刻です。 Solanaネットワークへの信頼を侵食し、機能性のために機密トークンに依存する分散型アプリケーションに広範囲にわたって混乱を引き起こす可能性があります。

However, the rapid discovery of the vulnerability by blockchain security firms and the coordinated response from Solana’s core development teams helped to avert what could have been a major incident.

しかし、ブロックチェーンのセキュリティ会社による脆弱性の迅速な発見と、ソラナのコア開発チームからの調整された対応は、主要な事件であった可能性のあるものを回避するのに役立ちました。

To address the vulnerability, Anza, Firedancer, and Jito—Solana’s core development teams—worked together with several prominent blockchain security auditors, including OtterSec, Asymmetric Research, and Neodyme. These groups quickly investigated the flaw and developed a patch.

脆弱性に対処するために、ANZA、Firedancer、およびJito（Solanaのコア開発チーム）は、Ottersec、非対称研究、Neodymeなどのいくつかの著名なブロックチェーンセキュリティ監査員と一緒に機能しました。これらのグループはすぐに欠陥を調査し、パッチを開発しました。

This patch was then privately distributed to a group of select validators on April 17. Within 24 hours, more than 70% of the network’s stake had implemented the fix, surpassing the supermajority threshold required for network-wide safety. Only after this critical majority had the time to install the update did they begin the process of public disclosure.

その後、このパッチは4月17日にSelect Validatorsのグループに個人的に配布されました。24時間以内に、ネットワークの株式の70％以上が修正を実装し、ネットワーク全体の安全に必要な超大多数のしきい値を超えています。この重要な多数派がアップデートをインストールする時間があった後にのみ、公開開示のプロセスを開始しました。

At the time of reporting, no exploitation of the vulnerability has been detected. However, the strategy of distributing the patch privately before going public has sparked mixed reactions.

報告時には、脆弱性の搾取は検出されていません。ただし、公開する前にパッチを個人的に配布する戦略は、混合反応を引き起こしました。

Those in favor of this approach highlight the urgency of patching the vulnerability to protect the network and its users from potential harm. They add that the rapid adoption of the fix by validators demonstrates the efficiency of Solana’s ecosystem.

このアプローチに賛成する人々は、ネットワークとそのユーザーを潜在的な危害から保護するために脆弱性にパッチを当てたという緊急性を強調しています。彼らは、バリデーターによる修正の迅速な採用は、ソラナの生態系の効率を示していると付け加えました。

Those critical of this strategy claim that it deviates from the decentralized ideals on which cryptocurrencies are founded. They highlight the lack of transparency throughout the process and the potential for an imbalance of power to emerge among a few core development teams and validators.

この戦略に批判的なものは、暗号通貨が設立された分散型の理想から逸脱していると主張しています。彼らは、プロセス全体の透明性の欠如と、いくつかのコア開発チームとバリデーターの間で出現する力の不均衡の可能性を強調しています。

This incident showcases a key challenge faced by modern blockchain ecosystems: how to balance rapid security response with transparent, decentralized governance.

このインシデントは、現代のブロックチェーンエコシステムが直面する重要な課題を示しています。迅速なセキュリティ対応と透明で分散型ガバナンスのバランスをとる方法。

In highly performant and complex chains like Solana, time-sensitive vulnerabilities may demand swift, centralized coordination, which can sometimes come at the cost of broader community involvement.

Solanaのような非常にパフォーマンスのある複雑なチェーンでは、時間に敏感な脆弱性が迅速で集中的な調整を必要とする場合があります。

As Solana continues to mature, how it navigates similar crises will likely shape industry perceptions of its trust model, validator structure, and governance philosophy. For now, the swift resolution appears to have prevented potential catastrophe, but questions about the long-term implications of such interventions remain.

ソラナが成熟し続けるにつれて、同様の危機をどのようにナビゲートするかは、信頼モデル、バリッター構造、ガバナンス哲学に対する業界の認識を形成する可能性があります。今のところ、迅速な解決は潜在的な大惨事を妨げているように見えますが、そのような介入の長期的な意味についての質問は残っています。