ソラナ財団、機密転送のゼロデイ脆弱性を緊急修正——『修正完了』と発表
ソラナ財団は本日、機密データ転送プロトコルにおける重大なゼロデイ脆弱性の修正を完了したと発表。この脆弱性は、悪意のある攻撃者がネットワークを迂回して機密情報にアクセス可能にする危険性があった。
修正パッチは即時展開され、主要取引所はすでに対応済み。ソラナの価格は一時3%上昇したが、あるアナリストは『暗号通貨業界では、セキュリティ問題が解決するたびに投資家が「売り時」を探す』と皮肉を込めて指摘した。
財団のCTOは『今回の迅速な対応は、ソラナのセキュリティへのコミットメントを証明するもの』と強調。次回のネットワークアップグレードでは、追加の監査機能が導入される予定だ。
脆弱性の内容と対応
問題となった脆弱性は、ゼロ知識証明の検証に使用される「ZK ElGamal Proof」プログラムに関するものだった。このプログラムはソラナ(SOL)のToken-2022標準に準拠するトークンの機密転送において重要な役割を果たしている。
Fiat-Shamirトランスフォーメーションでトランスクリプトを生成する際、一部の代数的要素がハッシュに含まれていなかったことが原因だった。
この欠陥により、悪意ある攻撃者は巧妙な手法で偽造した証明を作成し、無制限のトークン発行や他のアカウントからのトークン引き出しなど、許可されていない操作を実行できる可能性があった。発見後、ソラナ財団は問題を一般に公表せず、非公開でバリデーター(取引検証者)と連携して対応した。
影響は限定的、資金は安全
幸いなことに、この脆弱性による実際の被害は報告されていない。ソラナ財団は「すべての資金は安全であり、潜在的な脆弱性が悪用された事例は確認されていない」と述べている。機密転送機能自体もまだ広く採用されておらず、影響は限定的だった。
一部の報道では、パクソス社が発行するステーブルコインUSDPがこの機能を利用していると指摘されていたが、パクソスはザ・ブロックの取材に対し「機密転送は現在、パクソスが発行するいかなるステーブルコインでも稼働していない」と否定し、「したがって、このソラナのパッチはパクソスやその製品には影響していない」と明言した。
ただし、パクソスのUSDPはソラナのトークン拡張機能を活用しており、永続的な委任、メタデータポインター、トランスファーフックなどの機能を使用している。
分散化をめぐる議論
ソラナ財団が脆弱性の情報を一般公開する前に非公開で対応したことについては、ネットワークの分散化の度合いに関する議論が起きている。
カーブ・ファイナンスの貢献者はソラナ財団とバリデーターの緊密な関係に懸念を示し、すべてが非公開で行われた点を問題視した。
分散型システムにおいては、こうした対応が権力の集中につながる可能性があるとの批判がある一方で、ソラナの共同創設者アナトリー・ヤコベンコは、バリデーターの調整はソラナに特有のものではなく、イーサリアム(ETH)でも同様のコンセンサス構築メカニズムが存在すると指摘した。
ソラナのバリデーターが迅速に行動し、潜在的な被害を未然に防いだことは評価されているものの、透明性の観点からは課題が残された。分散型システムにおける信頼性と安全性のバランスをどう取るかという問題は、今後も新しい仮想通貨(仮想通貨)業界全体で議論されていくだろう。
