Découvrez les risques majeurs liés à la sécurité sur Solana, parmi lesquels l’attaque de la chaîne d’approvisionnement de 580 M$, les vulnérabilités des smart contracts, la manipulation des oracles, les attaques par prêt flash ainsi que les incidents de fiabilité du réseau. Approfondissez les méthodes de gestion des risques adaptées aux entreprises et aux activités de conservation institutionnelle.
Attaques sur la chaîne d'approvisionnement et vulnérabilités des portefeuilles : la faille de 580 millions USD d'août 2022
L’incident survenu en août 2022 a constitué un point de bascule pour la sécurité de l’écosystème Solana. Le 2 août 2022, des milliers de portefeuilles connectés à Solana ont été gravement compromis : des clés privées ont été divulguées puis exploitées pour autoriser des transactions frauduleuses. Environ 7 900 portefeuilles ont été victimes de cette attaque sophistiquée sur la chaîne d’approvisionnement, entraînant des pertes de plus de 5,2 millions USD lors de la première vague. La faille a exposé des vulnérabilités critiques au sein des applications de portefeuilles Solana les plus utilisées, notamment Slope, ainsi que d’autres plateformes comme Phantom et Solflare, qui facilitent la gestion des actifs numériques sur le réseau.
Le vecteur d’attaque reposait sur une compromission de la chaîne d’approvisionnement ciblant les dépendances logicielles utilisées par les développeurs de portefeuilles Solana. Des versions malveillantes de paquets npm ont été intégrées à l’écosystème de développement, exposant les clés privées stockées dans les environnements de portefeuilles chauds. Cette faille a compromis l’infrastructure de sécurité sur laquelle les utilisateurs s’appuyaient pour protéger leurs crypto-actifs. L’incident a démontré que la sécurité des portefeuilles englobe bien plus que l’architecture applicative propre : elle concerne l’ensemble de la chaîne d’approvisionnement en dépendances et bibliothèques soutenant les portefeuilles Solana.
Au-delà des pertes financières immédiates, cette attaque a mis en évidence la fragilité des portefeuilles chauds dans les écosystèmes blockchain. La faille a révélé que l’infrastructure des portefeuilles Solana est exposée à des menaces avancées qui dépassent les pratiques classiques de sécurité, poussant l’écosystème à renforcer les protocoles d’audit et à instaurer des procédures de validation plus strictes pour les dépendances logicielles.
Exploits de smart contracts et risques DeFi : manipulation d'oracles et attaques par flash loan
Manipulation d'oracles et vulnérabilités des flux de prix
La manipulation d’oracles s’impose parmi les menaces les plus majeures pour les protocoles DeFi sur Solana. Lorsque les smart contracts reposent sur des données de prix externes pour exécuter des transactions, les attaquants exploitent les failles dans la détermination de ces prix. Un exemple marquant a concerné Mango Markets, où le protocole a subi d’importantes pertes à la suite d’une manipulation des flux de prix, illustrant la vulnérabilité des systèmes dépendants des oracles face à des attaques coordonnées.
Les attaques par flash loan constituent un autre vecteur d’exploitation critique dans l’écosystème DeFi Solana. Ces attaques permettent à des emprunteurs d’accéder à d’importants capitaux en une seule transaction, provoquant des mouvements de prix artificiels. Lors d’opérations majeures financées via des flash loans, les attaquants peuvent temporairement absorber la liquidité des pools, ce qui provoque des variations extrêmes du prix spot calculé directement à partir des soldes sur DEX. Cette distorsion temporaire ne dure que le temps de la transaction, mais elle suffit pour exploiter la logique des smart contracts fondée sur ces prix manipulés.
L’articulation entre manipulation d’oracles et attaques par flash loan engendre des scénarios particulièrement critiques. Un attaquant qui exécute un flash loan peut fausser artificiellement le solde de tokens d’un pool, générant de faux signaux de prix que les protocoles interprètent comme des données de marché légitimes. Une fois la transaction clôturée et le prêt remboursé, l’attaque laisse peu de traces, tandis que le protocole subit des pertes. Les études sur la sécurité DeFi montrent que la combinaison de ces vecteurs d’attaque a entraîné des pertes de plusieurs millions USD dans l’écosystème, soulignant l’urgence pour les protocoles d’implémenter des mécanismes robustes de vérification des prix et des stratégies de résistance aux flash loans.
Dépendances de garde et fiabilité du réseau : risques liés à la garde ETF et historiques d’indisponibilité
La garde des ETF Solana repose sur des dépositaires institutionnels gérant l’infrastructure réseau essentielle, incluant les validateurs et les nœuds RPC nécessaires au traitement et au règlement des transactions. Ces dépendances créent des risques de concentration qui peuvent aggraver les problèmes de fiabilité du réseau. L’historique des interruptions de Solana révèle des vulnérabilités structurelles impactant les opérations des ETF : sept incidents majeurs depuis le lancement, dont cinq attribués à des bugs des clients validateurs et deux dus à des spams de transactions saturant le réseau. L’arrêt du réseau en septembre 2021 a duré 17 heures à la suite d’un trafic massif de bots, tandis qu’en février 2023, une nouvelle interruption prolongée causée par des problèmes de réparation de blocs a illustré l’impact direct de la perte de disponibilité sur la garde et la finalité des transactions. Lorsque le réseau s’interrompt, les dépositaires ne peuvent traiter ni transactions ni réglés de positions, engendrant des perturbations pour les fournisseurs d’ETF. La concentration des services de garde auprès d’un nombre restreint d’acteurs institutionnels accentue ces risques, créant des points de défaillance uniques si des problèmes d’infrastructure affectent simultanément plusieurs dépositaires. Toutefois, la feuille de route des évolutions de Solana, avec notamment la refonte du client validateur Firedancer, vise à répondre à ces enjeux de fiabilité grâce à une diversité accrue des clients et à des améliorations de performance. Cette trajectoire d’amélioration est essentielle pour l’adoption institutionnelle, car la garde ETF exige une résilience de réseau avérée et un traitement transactionnel constant pour répondre aux exigences réglementaires et opérationnelles.
FAQ
Quels incidents de sécurité majeurs et attaques ont marqué l’histoire de Solana ?
Solana a connu des violations majeures, dont un vol de 58 millions USD sur MEXC et une attaque de 36 millions USD sur Upbit en 2025. D’autres incidents ont concerné la compromission de la chaîne d’approvisionnement de @solana/web3.js, des vulnérabilités de smart contracts telles que les exploits de réentrance, ainsi que des attaques de phishing ciblant les utilisateurs de Phantom.
Quels sont les types de vulnérabilités les plus courants dans les smart contracts Solana ?
Les vulnérabilités courantes des smart contracts Solana incluent le dépassement de capacité numérique, les erreurs de précision arithmétique, l’absence de gestion des erreurs de retour, le manque de contrôle des droits d’initialisation, l’absence de vérification du propriétaire du compte, l’insuffisance de vérification des comptes PDA et les faiblesses de validation des signatures.
Comment les vulnérabilités d’exécution et les problèmes de validation des comptes affectent-ils la sécurité du réseau Solana ?
La vulnérabilité d’exécution de Solana dans l’implémentation du zéro-knowledge proof de Token-2022 a exposé le réseau à des risques, en autorisant la validation incorrecte de transactions. Bien qu’aucune exploitation n’ait été constatée, la coordination privée du correctif avec 70 % des validateurs a suscité des interrogations sur la centralisation des validateurs et les enjeux de gouvernance décentralisée dans les systèmes blockchain.
Quelles spécificités des risques de sécurité distingue les smart contracts Solana de ceux d’Ethereum ?
Les smart contracts Solana sont exposés aux risques liés à l’exécution parallèle et à la complexité de gestion des états des comptes. Contrairement au traitement séquentiel d’Ethereum, le modèle d’exécution concurrente de Solana peut provoquer des conditions de concurrence. De plus, Solana ne dispose pas de protections natives contre la réentrance, ce qui impose aux développeurs de mettre en place leurs propres mesures de sécurité.
Comment développer des smart contracts sécurisés sur Solana et quels points de vigilance adopter ?
Utiliser le framework Anchor pour le développement, mettre en œuvre une validation stricte des comptes afin de prévenir les attaques par confusion de type, réaliser des audits de code approfondis, valider tous les comptes d’entrée, limiter la profondeur des appels inter-programmes et appliquer des vérifications de réentrance malgré les protections natives présentes sur Solana.
Quels risques de sécurité le mécanisme de consensus et les modes de traitement des transactions du réseau Solana présentent-ils ?
Le mécanisme de consensus de Solana expose le réseau à des risques tels que la corruption et les attaques ciblées, résultant d’une source de données unique approuvée. Le calendrier de Leader pré-annoncé réduit la charge de consensus, mais augmente la vulnérabilité aux perturbations du réseau et aux attaques sur les validateurs.
* Les informations ne sont pas destinées à être et ne constituent pas des conseils financiers ou toute autre recommandation de toute sorte offerte ou approuvée par Gate.
