メインコンテンツまでスキップ

Firedancer の 100 万ドル規模の試練: Solana のマルチクライアントへの賭けは、これまでで最も厳しい試練に直面している

· 約 18 分
Dora Noda
Dora Noda
Software Engineer

2026 年 4 月 9 日、Jump Crypto はブロックチェーン史上最大規模となる単一クライアント向けバグバウンティを開始しました。今後 30 日間、世界中の誰もが Solana 初の完全独立型バリデータクライアントである Firedancer v1 に挑み、100 万ドルの賞金を手にするチャンスがあります。このコンペティションは Immunefi 上で 5 月 9 日まで開催され、重要度「Critical」のバグが 1 つでも発見されれば、賞金プール全額の支払いがトリガーされます。たとえ何も見つからなかったとしても、その努力に対して 5 万ドルが「参加報酬」として確保されています。

これは単なるマーケティング活動ではありません。Firedancer v1 は 63 万 6,000 行の手書きの C 言語コードで構成されており、現在、DeFi の TVL(預かり資産)約 60 億ドル、ステーブルコインの流通量 170 億ドルを抱えるネットワークのコンセンサスパスに位置しています。その 1 バイトたりとも、間違いは許されません。この監査コンペティションは、レイヤー 1 のクライアントチームがこれまでに実施した中で最もアグレッシブな公開ストレステストであり、その結果は、Solana がついに、Ethereum が 5 年を費やして到達しようとした「マルチクライアント」の閾値を超えられるかどうかを左右することになります。

なぜ今、これほど大規模なバグバウンティが必要なのか

Firedancer は一朝一夕で完成したわけではありません。Jump Crypto は 2022 年にこのプロジェクトを開始し、2025 年半ばまでに Frankendancer と呼ばれるハイブリッド版(Jump のネットワーキングおよびイングレスコードと Agave のランタイムを組み合わせたもの)が、Solana のステーキング額の約 8% で稼働していました。2026 年 4 月までに、そのシェアは 207 のバリデータにわたり、約 20.9% まで拡大しました。Frankendancer は 4 か月でステーキング量を倍増させており、これはオペレーターが本番環境で Jump のコードを信頼していることを示す、これまでで最も明白なシグナルです。

2025 年 12 月にメインネットに導入された Firedancer v1 は、次なる飛躍となります。ハイブリッド版に含まれていた Agave への依存関係はすべて、ネイティブの C 実装に置き換えられました。フォールバック先として共有される Rust ランタイムはもう存在しません。Firedancer v1 がブロックを生成する場合、トランザクションに関わるすべての行が Jump によって書かれたものであることを意味します。

この独立性こそが、今回の監査を極めて重要なものにしています。第 2 の実装がネットワークを保護できるのは、第 1 の実装と「正しい方法」で意見が分かれた場合、つまり、バグについては異なり、コンセンサスについては一致する場合のみです。第 1 の実装のミスを黙って継承する第 2 の実装は、多様性がないことよりもさらに悪影響を及ぼします。なぜなら、同じ単一障害点を残したまま、安全であるという錯覚を生み出してしまうからです。Jump はこれを理解しています。100 万ドルの賞金プールは、敵対的な条件下で監査された独立した C 言語コードベースが、約束された多様性を提供できるという公の賭けなのです。

報酬体系は「選ばれた」のではなく「設計された」

支払スケジュールは、純粋なセキュリティ・インセンティブ設計の演習のように見えます。重要度「Critical」のバグが発見された場合の最高報酬は 100 万ドル。発見された中で最も深刻なバグが「High(重要度:高)」であれば 50 万ドル。そして、結果にかかわらず支払われる 5 万ドルの参加報酬プール。すべての提出物には、Immunefi のルールに準拠した実行可能なプルーフ・オブ・コンセプト(PoC)が必要です。

この構造は、3 つのことを同時に実現しています。第一に、1 つの緊急バグを発見するだけで人生を変えるほどの報酬が得られるため、エリート研究者を引きつけます。第二に、1 か月を費やして何も見つけられなかった研究者にも労働に対する対価が保証されるため、フォールス・ネガティブ(偽陰性)のバイアスを和らげます。そして第三に、PoC の提出を必須とすることで、多くのバグバウンティをノイズで埋め尽くす推測的なレポートを排除し、誠実なシグナルを生み出します。

既存の基準と比較してみましょう。Ethereum のバグバウンティは、コンセンサスに関わる重大なバグに対して最大 50 万ドルを支払います。Cosmos は HackerOne プログラムを運用しています。これらはどちらも継続的で上限が低く設定されたプログラムであり、数年かけて問題を見つけるように設計されています。Jump はそれとは異なるアプローチをとっています。今回の監査コンペティションは、v1 のメインネットリリースから次のバリデータ採用段階までの間の正確なタイミングで、敵対的レビューを 30 日間の期間に凝縮しています。Frankendancer のオペレーターが v1 にアップグレードし、ステーキングの移行が加速する前に、今すぐバグを見つけ出そうというわけです。

なぜ C 言語による実装が重要なのか

Solana のバリデータを C 言語で書くことは、当たり前の選択ではありませんでした。現代のブロックチェーン・クライアント開発で Rust が主流なのは理由があります。この言語のメモリ安全性モデルが、C 言語のコードベースで歴史的に最も致命的なバグの原因となってきたバッファオーバーフロー、Use-After-Free、二重解放といった脆弱性のカテゴリーをまるごと排除してくれるからです。C 言語を選択するということは、言語設計に頼るのではなく、エンジニアリングの規律によってこれらのバグを回避するという負担を受け入れることを意味します。

Jump の賭けは、パフォーマンスの限界値がそのコストを正当化するという点にあります。ベンチマーク条件下での Firedancer は毎秒 100 万トランザクションを処理しており、そのアーキテクチャはタイルベースのサンドボックス化を中心に構築されています。これは、各機能コンポーネントが独自のメモリとスレッドの分離を備えた独立したプロセスとして実行されるモデルです。トランザクション検証タイルにあるバグがコンセンサスタイルに影響を及ぼすことはありません。ネットワーク層の侵害がランタイムに波及することもありません。これは単一のバリデータバイナリ内部のマイクロサービスアーキテクチャであり、何か問題が発生した際に C 言語のコードベースを致命的な状態にするのではなく、回復可能なものにすることを目的としています。

監査コンペティションは、アーキテクチャ図など気に留めない攻撃者によって、その賭けが試される場です。彼らが関心を持つのは、63 万 6,000 行の C 言語コードの中にあるエッジケース、すなわち、Firedancer の実装が Agave の Rust ランタイムとは異なる選択をする「正確な相違点」です。それらの相違点こそが、コンセンサスの分裂を引き起こすバグが潜む場所なのです。そして、それらの相違点こそが、まさにこのプログラムが研究者に探し出すよう求めているものなのです。

Solana の賭け:現実の資金と現実のカウンターパーティ

この監査の背後にある経済性は、なぜ Jump が賞金プールを 25 万ドルではなく 100 万ドルに設定したのかを物語っています。

2026 年 4 月現在、Solana の DeFi TVL は、同月初旬の Drift Protocol のエクスプロイトから回復し、約 57.7 億ドルとなっています。Solana 上のステーブルコイン供給量は 170 億ドルを超えました。機関投資家向けのインフラも本格的に導入されています。Fidelity は Solana バリデータを開設し、BlackRock の BUIDL ファンドはネットワーク上で 5.5 億ドルを決済、Goldman Sachs は 1.08 億ドルの SOL 保有を明らかにしました。これらを合わせると、2 つのプロダクションクライアント — Agave 派生(Jito-Solana、ステークの 72% から 88% を占める)と Firedancer 派生(20.9% を占める Frankendancer)— に依存するネットワークに対し、直接的に可視化されている経済的エクスポージャーは約 230 億ドルに達します。

Firedancer v1 におけるコンセンサス分離(consensus-split)のバグ — つまり、Firedancer を実行しているバリデータが受け入れるブロックを Agave 実行バリデータが拒否する、あるいはその逆が発生するバグ — は、ファイナリティの停止、チェーンのフォーク、あるいは決済ウィンドウの真っ最中に機関投資家のポジションを凍結させる可能性があります。これこそが、実社会で発生する前に、Jump が 100 万ドルを投じて発見しようとしているシナリオです。

イーサリアムとの比較は、時を経てその正しさが証明された

イーサリアムは、Solana が飛び越えようとしている教訓を学ぶのに約 5 年を費やしました。2024 年 1 月、当時 2 番目に多く使用されていた実行クライアントである Nethermind の重大なバグにより、バリデータの約 8% がオフラインになりました。この事件は警鐘となり、Coinbase は集中リスクを軽減するために、ステーキングインフラに Nethermind と Erigon を追加する動きを見せました。2026 年 4 月までに、単一のイーサリアム実行クライアントがネットワークシェアの 45% 以上を占めることはなくなり、ネットワーク史上最高の「クライアントエントロピー」を実現しています。

Solana はその道のりを凝縮しています。Jump が Firedancer の開発を開始してから 2 年半が経過し、ネットワークは 2026 年末までに完全に独立したクライアントで 30% 以上のステークを獲得するという信頼できる道筋を歩んでいます。これは、v1 が重大な欠陥なく監査期間をクリアすることを前提としています。100 万ドルのバグバウンティは、今日の「有望なハイブリッド」というステータスと、真のマルチクライアントメインネットとの間を仕切る決定的なイベントです。

戦略的な非対称性は、機関投資家の採用において重要です。イーサリアムのマルチクライアントアーキテクチャは、伝統的金融(TradFi)のデスクとの対話において主要なセールスポイントとなってきました。「クライアントにバグがあったらどうなるのか」という問いに対して、防御可能な回答を提供できるからです。Solana は歴史的にその回答を持っていませんでした。それが、Solana が多くの日でイーサリアムメインネットよりも多くの収益、アクティブユーザー、DEX 取引高を生み出しているにもかかわらず、依然としてバリュエーションのディスカウントで取引されている理由の一つです。Firedancer v1 の監査成功は、そのギャップを埋めることになります。

リサーチャーが狙うもの

バグバウンティハンターは闇雲に探索することはありません。彼らはアーキテクチャに従います。Firedancer v1 において最も価値の高いターゲットは「分岐点」です。つまり、プロトコル仕様の境界条件(エッジケース)の処理において、Jump の C 実装が Agave の Rust 実装とは異なる選択をしている箇所です。

これらは主に以下の領域に集中する傾向があります:

  • トランザクションのパースと署名検証 — バッファ内での 1 バイトのオフバイワン(ずれ)により、不正な形式のトランザクションがパニック、無料のトランザクション、あるいは二重支払いに変わる可能性があります。
  • ブロック生成とゴシップ — Firedancer の高性能なネットワーキングスタックは、C 言語特有の最適化が最も施されている部分であり、Agave から最も分岐したコードパスを持っています。
  • ランタイムセマンティクス — Solana 仮想マシンの 2 つの実装は、すべての BPF 命令、すべての CPI、すべてのシステムプログラム呼び出しの結果について、完全に一致する必要があります。
  • コンセンサス投票とフォーク選択 — Agave とのいかなる不一致もチェーンを破壊します。

タイルベースのサンドボックス化は、影響範囲を制限することで最初の 3 つのカテゴリに対処するのに役立ちます。4 つ目は、クライアントチームが夜も眠れなくなるほど懸念している事項です。コンセンサス分離のバグは、バリデータを侵害する必要はありません。バリデータに、ネットワークの他の部分とは異なる投票をさせるだけで十分なのです。

5 月 9 日以降に起こること

2 つの結果が Solana の 2026 年を定義することになります。

1 つ目のシナリオでは、監査が重大な発見なしに終了します。Frankendancer オペレーターは v1 へのアップグレードを開始します。独立したクライアントのステークシェアは、現在の 21% から年末までに 35〜40% へと成長します。Fidelity や BlackRock 近接のインフラといった機関投資家バリデータは、マルチクライアントの問いに対して信頼できる技術的な回答を得ます。「Solana はバグ一つでダウンする可能性がある」という批判は力を失い、チェーンの機関投資家向けバリュエーションのディスカウントは解消へと向かいます。

2 つ目のシナリオでは、監査によって重大なバグが表面化します。Jump は 100 万ドルを支払い、修正版をリリースし、再度レビューを行います。Frankendancer から v1 への移行は遅れます。独立したクライアントのステークは横ばい、あるいは減少します。Agave 派生のクライアントが依然として大半のブロックを処理しているため、チェーンの稼働は維持されますが、マルチクライアントのテーゼは公に打撃を受け、機関投資家のナラティブは 6 ヶ月後退します。

いずれにせよ、このコンペティションの設計は正しいものです。230 億ドルの資金が危険にさらされている本番環境でバグを見つけるよりも、100 万ドルの報奨金が設定された公開バグバウンティで見つける方が、はるかに賢明です。

インフラ運用者にとっての意味

RPC プロバイダー、バリデーター運用者、および Solana 上で構築を行う開発者にとって、この監査期間は計画を立てるための期間でもあります。

バリデーターを運用している場合、今後 30 日間は、自身のノード群において Firedancer 由来のノードと Agave 由来のノード間のコンセンサス乖離を監視システムが検出できるかを確認するための、最もコスト効率の良い時期です。デュアルクライアント構成を採用している場合は、2 つのクライアント間で不一致が生じた際にフェイルオーバーが正しく動作するかをストレス テストする絶好の機会です。単一のクライアントのみを運用している場合、この監査は、その理由を再考するための有用なきっかけとなります。

RPC インフラを運用している場合、機関投資家レベルの運用者が監査結果に基づいてアップグレードのタイムラインを調整すれば、トラフィック パターンが変化する可能性があります。Firedancer v1 のスループット特性は Agave とは大きく異なるため、インデクサー、MEV サーチャー、低遅延が要求される取引システムなどのダウンストリーム コンシューマーは、監査期間終了後に主流となるクライアント構成に合わせて、自身の前提条件を検証する必要があります。

アプリケーションを構築している場合、マルチクライアント化の結果は、日々のコード作成よりもリスク プロファイルにおいて大きな意味を持ちます。信頼性の高いマルチクライアントの多様性を備えた Solana は、単一クライアントのバグが発生しても dApp の決済を停止させることなく吸収できるネットワークとなります。これは評価に値する特性であり、監査の結果はその先行指標となります。

BlockEden.xyz は、複数のバリデーター クライアント実装にわたってプロダクション グレードの Solana RPC インフラを運用しており、開発者や機関投資家ユーザーに単一クライアントの障害モードに対する耐性を提供します。Solana API およびバリデーター サービスを探索して、マルチクライアントの未来のために設計されたインフラ上で構築を開始しましょう。

出典

Share on Twitter