Solana Labs의 Token-2022 및 ZK Elgamal Proof 프로그램의 중요한 보안 결함

2025 년 4 월 16 일, 보안 연구원들은 Solana의 Token-2022 및 ZK Elgamal 증명 프로그램에 영향을 미치는 "제로 데이"취약점을 확인했습니다.

A critical security flaw affecting the Token-2022 and ZK ElGamal Proof programs of Solana was identified on April 16, 2025, by security researchers.

Solana의 Token-2022 및 ZK Elgamal 증명 프로그램에 영향을 미치는 중요한 보안 결함은 2025 년 4 월 16 일 보안 연구원들에 의해 확인되었습니다.

The vulnerability, which theoretically allowed for unlimited minting of confidential Token-22 tokens, an extension based on zero-knowledge disclosure proof (zk-proofs), has been patched, according to a post-mortem report by Solana Foundation.

Solana Foundation의 사후 보고서에 따르면, 제로 지식 공개 증명 (ZK-Proofs)을 기반으로 한 확장자 인 기밀 토큰 -22 토큰의 무제한 마이닝을 이론적으로 허용 한이 취약점은 패치되었다.

The issue stemmed from a hashing error in certain mathematical components during the Fiat-Shamir transformation, weakening the cryptographic verification of proofs and potentially opening the door for malicious actors to forge proofs and mint tokens at will.

이 문제는 피아트-샤 미르 변환 동안 특정 수학적 구성 요소의 해싱 오류에서 비롯되어 증거의 암호화 검증을 약화시키고 악의적 인 행위자들이 증명과 박하 토큰을 위조 할 수있는 문을 열 가능성이 있습니다.

However, no exploitation was detected before the bug was fixed, and development teams responded quickly, deploying a patch within 48 hours through a coordinated validator update.

그러나 버그가 수정되기 전에 악용이 감지되지 않았으며 개발 팀은 신속하게 응답하여 48 시간 이내에 조정 된 유효성 검사기 업데이트를 통해 패치를 배치했습니다.

Despite this prompt response, the handling of this incident has drawn harsh criticisms within the crypto community, with some highlighting the lack of transparency from the Solana Foundation in coordinating with validators.

이러한 신속한 대응에도 불구하고,이 사건의 취급은 암호화 커뮤니티 내에서 가혹한 비판을 받았으며, 일부는 유효성 검사기와의 조정에서 Solana Foundation의 투명성 부족을 강조했습니다.

“Why does one entity have all validators’ contact details? What discussions take place in these private channels?” questioned a Curve Finance contributor, fearing potential censorship or an orchestrated rollback of the network.

"한 엔터티에 모든 유효성 검사기의 연락처 세부 사항이있는 이유는 무엇입니까?이 개인 채널에서 어떤 토론이 발생합니까?" 잠재적 인 검열이나 네트워크의 조정 된 롤백을 두려워하여 곡선 금융 기고자에게 의문을 제기했습니다.

Solana Labs co-founder, Anatoly Yakovenko, tried to downplay the situation by comparing this emergency to the coordination capability of key Ethereum players in case of critical bugs. But this analogy was strongly contested by a prominent Ethereum community member, Ryan Berckmans.

Solana Labs의 공동 창립자 인 Anatoly Yakovenko는이 비상 사태를 중요한 버그의 경우 주요 이더 리움 플레이어의 조정 능력과 비교하여 상황을 경시하려고했습니다. 그러나이 비유는 저명한 이더 리움 커뮤니티 회원 인 Ryan Berckmans와 강력하게 논쟁을 벌였습니다.

According to Berckmans, the fundamental difference lies in the diversity of clients. While Geth represents a maximum of 41% of the Ethereum market, Solana currently has only one fully operational client: Agave.

Berckmans에 따르면, 근본적인 차이는 고객의 다양성에 있습니다. Geth는 Ethereum 시장의 최대 41%를 나타내지 만 Solana는 현재 하나의 완전 운영 클라이언트 인 Agave를 보유하고 있습니다.

People are missing the important points in this Solana emergency fork situation

이 Solana Emergency Fork 상황에서 사람들은 중요한 요점을 놓치고 있습니다.

1) Eth has client diversity and a protocol spec steered by a meaningful research community.

1) ETH는 고객 다양성과 의미있는 연구 커뮤니티가 조향하는 프로토콜 사양을 가지고 있습니다.

The most popular eth client, geth, has at most 41% market share.

가장 인기있는 ETH 고객 인 Geth는 최대 41%의 시장 점유율을 보유하고 있습니다.

Sol has one prod client (just one; don't integrate yet!) and no real protocol spec research community.

Sol에는 하나의 prod 클라이언트 (단지 하나; 아직 통합되지 않습니다!)와 실제 프로토콜 사양 연구 커뮤니티가 없습니다.

2) This isn't an anomaly. It's a critical bug in a core crypto primitive used across many chains.

2) 이것은 변칙이 아닙니다. 그것은 많은 체인에 사용되는 핵심 암호화 프리미티브의 중요한 버그입니다.

According to Berckmans, the integrality of Agave makes any bug a direct vulnerability of the Solana protocol, rendering the separation between application and protocol nearly meaningless.

Berckmans에 따르면, Agave의 적절성은 모든 버그가 Solana 프로토콜의 직접적인 취약성으로 만들어서 응용 프로그램과 프로토콜 사이의 분리를 거의 의미가 없게 만듭니다.

“On Solana, a bug in the sole available client is, de facto, a protocol bug. Modifying the client is equivalent to modifying the protocol. There is no functional separation,” he lamented.

"Solana의 경우, 사용 가능한 클라이언트의 버그는 사실상 프로토콜 버그입니다. 클라이언트를 수정하는 것은 프로토콜을 수정하는 것과 동일합니다. 기능적 분리는 없습니다."

However, Solana Foundation is banking on the arrival of the alternative client Firedancer in 2025, aimed at enhancing network resilience and robustness. But according to Berckmans, Solana would need at least three distinct clients to claim true protocol-level decentralization.

그러나 Solana Foundation은 2025 년 대체 고객 Firedancer가 도착하여 네트워크 탄력성과 견고성을 향상시키는 것을 목표로하고 있습니다. 그러나 Berckmans에 따르면 Solana는 진정한 프로토콜 수준의 탈 중앙화를 주장하기 위해 적어도 3 개의 별개의 고객이 필요합니다.

The Solana security flaw highlights the unique challenges of centralized-governance blockchains, a major concern for French and European stakeholders – regulators, investors, or developers.

Solana Security Flaw는 중앙 거버넌스 블록 체인의 고유 한 과제, 프랑스 및 유럽 이해 관계자 (규제 기관, 투자자 또는 개발자의 주요 관심사)를 강조합니다.

As Europe refines the MiCA regulatory framework, the robustness of the underlying infrastructure of issued tokens becomes critically important. This incident could thus serve as a lesson for future certifications or criteria for integrating digital asset projects.

유럽이 운모 규제 프레임 워크를 개선함에 따라 발행 된 토큰의 기본 인프라의 견고성이 매우 중요 해집니다. 따라서이 사건은 향후 인증 또는 디지털 자산 프로젝트를 통합하기위한 기준에 대한 교훈이 될 수 있습니다.

While Solana demonstrated exemplary responsiveness, the method employed raises legitimate concerns about the network’s technical governance. Client diversity, transparency in incident management, and the ability to weather crises without compromising neutrality are now crucial analytical criteria.

Solana는 모범적 인 응답 성을 보여 주지만, 사용 된 방법은 네트워크의 기술 거버넌스에 대한 합법적 인 우려를 제기합니다. 클라이언트 다양성, 사고 관리의 투명성 및 중립을 손상시키지 않고 기상 위기 능력이 이제 중요한 분석 기준입니다.

If you can call up the validator nodes to coordinate a critical zero day bug fix, you can call them up to do whatever you want. This is NOT the decentralisation we should be striving for.

Validator 노드를 호출하여 Critical Zero Day Bug Fix를 조정할 수 있다면 원하는대로 할 수 있습니다. 이것은 우리가 노력해야 할 분권화가 아닙니다.

And CT is celebrating this as "security is important" #Solana 🙄

그리고 CT는 "보안이 중요하다"#Solana 🙄로서 이것을 축하합니다.

The Solana security flaw is a wake-up call: the pursuit of performance and innovation cannot come at the expense of fundamental decentralization principles. An important reminder for the entire crypto ecosystem, at a time when issues of trust and security are more crucial than ever.

Solana 보안 결함은 모닝콜입니다. 성과와 혁신 추구는 기본 탈 중앙화 원칙을 희생시킬 수 없습니다. 신뢰와 보안 문제가 그 어느 때보 다 중요 할 때 전체 암호화 생태계에 대한 중요한 알림.