修正成功の裏で透明性欠如に懸念の声
Solana(ソラナ)ブロックチェーンで、無制限にトークンを発行したり、他ユーザーの資産を引き出したりできる深刻なゼロデイ脆弱性が存在していたことが明らかになった。
問題はすでに修正されているが、対応プロセスにおける透明性の欠如が指摘され、コミュニティではSolanaの中央集権性に対する懸念が高まっている。この脆弱性は、SolanaのToken-2022(現Token-22)標準に関連する「ZK ElGamal Proof」プログラムに存在していた。ゼロ知識証明に関する暗号検証プロセスに欠陥があり、不正な証明を生成することで、トークンを無制限に発行したり、他人のアカウントから資産を引き出すことが可能だった。
具体的には、暗号的ランダム性を保証するフィアット・シャミール変換のアルゴリズム要素が欠落しており、偽造証明の作成が可能な状態であった。影響を受けたのは、Token-22の機密性の高い送金に関連するゼロ知識証明検証部分である。
このバグは2025年4月16日に発見され、Solana Foundation(ソラナ財団)はAnza、Firedancer、Jitoといった主要開発チームと連携し、48時間以内にパッチを適用。OtterSec、Asymmetric Research、Neodymeなどのセキュリティ研究チームも対応に関与した。
5月3日に公開された財団の事後分析によると、脆弱性が悪用された痕跡や資金損失は確認されておらず、資産はすべて安全に保たれているという。
非公開対応に広がる批判と分散性への疑問
今回の対応では、Solana Foundationが脆弱性の公表前にバリデータと個別に連絡を取り、非公開でパッチを適用するという手法が取られた。
これにより早期の封じ込めに成功したが、分散型ネットワークとしての原則との乖離(かいり)を指摘する声が相次いでいる。特に、すべてのバリデータにどうやって連絡を取ったのか、その過程の透明性に疑問が寄せられている。過去にも似たような非公開調整が行われていたのではないかという指摘もあり、オフチェーン調整による検閲やロールバックを求める声も一部で上がっている。Solana Labsの共同創設者アナトリー・ヤコブセンコ氏は、イーサリアム(Ethereum)でも同様の調整は行われているとし、Binance、Coinbase、Kraken、Lidoといった主要バリデータが迅速なパッチ適用に応じることができると主張。しかしイーサリアムコミュニティの一部からは、クライアントの多様性が乏しいSolanaだからこそ、こうした対応が可能であり、同時にその脆弱さが露呈したとの指摘もある。
今回の件を通じて、Solanaの将来的なネットワーク運営において、透明性と分散性をどう両立させていくかが、改めて重要な課題として浮上している。
