ソラナ、無制限トークンミントバグ修正も反発

ソラナは最近、深刻な問題に直面した。攻撃者が無制限にトークンをミントしたり、他のユーザーのアカウントから許可なくトークンを引き出すことができるセキュリティの脆弱性が発見された。

しかし、バグを修正した後、投資家はソラナを批判した。この論争の背後にある理由を探る。

ソラナ、脆弱性を静かに修正＝英雄か支配者か？

ソラナは最近、レポートを公開し、ZK ElGamal Proofプログラムにおける脆弱性を明らかにした。このネイティブプログラムは、複雑なゼロ知識証明の正確性を検証し、アカウントや取引の暗号化された残高が有効であることを保証する。バグはToken-2022標準を使用するトークンに影響を与えた。

この脆弱性により、攻撃者はシステムを欺くことができた。無制限のトークンをミントしたり、他人のウォレットから引き出すといった不正行為が有効であるとシステムに信じ込ませた。つまり、未検出のまま放置されれば、悪意のある者が無限の資金を印刷したり、デジタル資産を盗んだりすることができた。

「この脆弱性はToken-22の機密トークンにのみ影響し、攻撃者が無制限のトークンをミントしたり、任意のアカウントからトークンを引き出すといった不正行為を行うことを可能にする」とソラナは述べた。

幸いにも、ソラナは迅速に問題を修正した。ソフトウェアを更新し、Asymmetric Research、Neodyme、OtterSecといったセキュリティ研究チームの協力を得て再テストを行った。最も重要なのは、脆弱性が修正される前に悪用されたという報告がなかったことだ。

コミュニティ、ソラナを批判する理由は？

ソラナは迅速に対応したが、その対応が賛否を呼んだ。

LambdaClassの開発者フェデのインターンはソラナを擁護した。同氏は、プラットフォームを批判する者たちは技術を理解していないと主張した。また、同様の事件がイーサリアムやビットコインで発生した場合も、反応は同じだっただろうと述べた。

2018年、ビットコインネットワークは深刻なインフレーションバグを経験した。ビットコインコアの開発者たちは、マイニングプールに静かに連絡し、問題を公表する前に修正した。

それでも、多くの人々がソラナの透明性と分散化について懸念を表明した。

例えば、投資家のCloutedは、秘密裏にパッチを適用したことに警鐘を鳴らした。ソラナは静かに修正を行い、その後にのみ公表した。これにより、バリデーターがバグを修正するために秘密裏に協力することができるなら、取引を検閲したりブロックチェーンデータを改変したりすることも可能ではないかという懸念が生じた。これは分散型システムが許してはならないことだ。