Telusuri risiko keamanan terpenting Solana, seperti serangan supply chain senilai $580 juta, eksploitasi smart contract, manipulasi oracle, serangan flash loan, dan masalah keandalan jaringan. Temukan strategi manajemen risiko yang efektif untuk perusahaan serta operasi kustodian institusional.
Serangan Rantai Pasokan dan Kerentanan Dompet: Pelanggaran Agustus 2022 Senilai $580 Juta
Insiden Agustus 2022 menjadi titik balik dalam keamanan ekosistem Solana. Pada 2 Agustus 2022, ribuan dompet yang terhubung ke Solana mengalami kompromi besar ketika private key bocor dan digunakan untuk mengotorisasi transaksi penipuan. Sekitar 7.900 dompet menjadi korban serangan rantai pasokan yang sangat canggih, dengan kerugian lebih dari $5,2 juta pada gelombang awal. Pelanggaran ini membuka kerentanan kritis pada aplikasi dompet Solana terkemuka, khususnya Slope, serta platform lain seperti Phantom dan Solflare yang mendukung pengelolaan aset digital di jaringan.
Mekanisme serangan ini melibatkan kompromi rantai pasokan yang menargetkan dependensi perangkat lunak yang digunakan pengembang dompet Solana. Versi package npm berbahaya disusupkan ke ekosistem pengembangan, sehingga private key yang tersimpan di lingkungan hot wallet terekspos. Kerentanan ini secara fundamental merusak infrastruktur keamanan yang diandalkan pengguna untuk menjaga aset kripto mereka. Peristiwa ini menunjukkan bahwa keamanan dompet tidak hanya bergantung pada desain aplikasi saja, tetapi juga pada seluruh rantai pasokan dependensi dan library yang menopang dompet berbasis Solana.
Selain kerugian finansial langsung, serangan rantai pasokan ini menyoroti posisi rentan hot wallet di dalam ekosistem blockchain. Pelanggaran ini menegaskan bahwa infrastruktur dompet Solana menghadapi ancaman tingkat tinggi yang melampaui praktik keamanan tradisional, sehingga mendorong ekosistem untuk meningkatkan protokol audit dan validasi dependensi perangkat lunak ke depan.
Eksploitasi Smart Contract dan Risiko DeFi: Manipulasi Oracle serta Serangan Flash Loan
Manipulasi Oracle dan Kerentanan Sumber Harga
Manipulasi oracle menjadi salah satu ancaman terbesar bagi protokol DeFi di Solana. Ketika smart contract bergantung pada data harga eksternal untuk eksekusi transaksi, penyerang dapat mengeksploitasi celah dalam mekanisme penentuan harga. Kasus Mango Markets menunjukkan bahwa manipulasi price feed menyebabkan kerugian substansial, membuktikan sistem berbasis oracle sangat rentan saat strategi penyerangan dilakukan secara terkoordinasi.
Serangan flash loan merupakan vektor eksploitasi penting di ekosistem DeFi Solana. Serangan ini memungkinkan peminjam mengakses dana besar dalam satu transaksi, menciptakan fluktuasi harga buatan. Dengan melakukan perdagangan besar yang dibiayai flash loan, pelaku dapat sementara menguras likuiditas pool sehingga harga spot di DEX bisa naik atau turun tajam. Distorsi sementara ini hanya terjadi selama eksekusi transaksi, namun sudah cukup untuk mengeksploitasi logika smart contract yang menggunakan harga yang telah dimanipulasi.
Kombinasi antara manipulasi oracle dan serangan flash loan menciptakan risiko yang sangat tinggi. Penyerang yang menggunakan flash loan dapat mengubah saldo aset pool secara artifisial, memunculkan sinyal harga palsu yang diinterpretasi protokol sebagai data pasar yang valid. Setelah transaksi selesai dan pinjaman dikembalikan, jejak serangan sangat minim tetapi protokol telah mengalami kerugian. Studi keamanan DeFi menunjukkan kombinasi vektor serangan ini telah menyebabkan kerugian jutaan dolar di seluruh ekosistem, menegaskan perlunya protokol menerapkan mekanisme verifikasi harga yang kuat dan strategi ketahanan terhadap flash loan.
Ketergantungan Kustodian dan Keandalan Jaringan: Risiko Kustodi ETF serta Riwayat Downtime
Kustodi ETF Solana mengandalkan kustodian institusional yang mengelola infrastruktur jaringan vital, termasuk validator serta node RPC yang penting untuk pemrosesan dan penyelesaian transaksi. Ketergantungan ini memunculkan risiko konsentrasi yang dapat memperparah isu keandalan jaringan. Riwayat downtime Solana menunjukkan adanya kerentanan struktural yang memengaruhi aktivitas ETF—tujuh insiden besar sejak peluncuran, dengan lima disebabkan bug pada klien validator dan dua akibat spam transaksi yang membanjiri jaringan. Pada September 2021, jaringan terhenti selama 17 jam karena lalu lintas bot melampaui kapasitas; Februari 2023, downtime berkepanjangan terjadi akibat masalah perbaikan blok. Kedua insiden ini membuktikan kegagalan liveness berdampak langsung pada proses kustodi dan finalitas transaksi. Saat jaringan berhenti, kustodian tidak dapat memproses transaksi atau menyelesaikan posisi, sehingga penyedia ETF mengalami gangguan operasional. Konsentrasi layanan kustodi pada beberapa institusi memperbesar risiko ini, menciptakan titik kegagalan tunggal jika masalah infrastruktur memengaruhi beberapa kustodian sekaligus. Namun, roadmap pembaruan Solana, termasuk desain ulang klien validator Firedancer, mengatasi isu keandalan historis dengan keberagaman klien dan peningkatan performa. Perbaikan ini sangat penting bagi adopsi institusional, karena kustodi ETF membutuhkan ketahanan jaringan dan pemrosesan transaksi yang konsisten sesuai standar regulasi dan operasional.
FAQ
Solana历史上发生过哪些重大的安全漏洞和攻击事件?
Solana pernah mengalami pelanggaran keamanan besar, termasuk pencurian $58 juta dari MEXC dan serangan $36 juta terhadap Upbit pada 2025. Insiden lain meliputi kompromi rantai pasokan @solana/web3.js, kerentanan smart contract seperti eksploitasi reentrancy, serta serangan phishing wallet yang menargetkan pengguna Phantom.
Solana智能合约中最常见的漏洞类型有哪些?
Kerentanan umum pada smart contract Solana mencakup overflow numerik, kesalahan presisi aritmatika, error pengembalian tak tertangani, kurangnya kontrol otorisasi inisialisasi, Account Owner yang tidak diperiksa, pemeriksaan akun PDA tidak memadai, dan kelemahan verifikasi tanda tangan.
Bagaimana kerentanan runtime dan masalah validasi akun Solana memengaruhi keamanan jaringan?
Kerentanan runtime Solana pada implementasi zero-knowledge proof Token-2022 memungkinkan validasi transaksi yang tidak benar sehingga menimbulkan risiko keamanan. Meski tidak terjadi eksploitasi, koordinasi patching secara privat dengan 70% validator menimbulkan kekhawatiran terkait sentralisasi validator dan tata kelola desentralisasi di sistem blockchain.
Dibandingkan Ethereum, risiko keamanan unik apa yang terdapat pada smart contract Solana?
Smart contract Solana menghadapi risiko eksekusi paralel serta kompleksitas pengelolaan status akun. Tidak seperti pemrosesan berurutan Ethereum, eksekusi paralel Solana berpotensi menimbulkan race condition. Selain itu, Solana tidak memiliki perlindungan reentrancy bawaan seperti di Ethereum, sehingga pengembang wajib menerapkan perlindungan khusus.
Bagaimana mengembangkan smart contract yang aman di Solana dan isu utama apa yang perlu diperhatikan?
Gunakan framework Anchor untuk pengembangan, lakukan validasi akun secara menyeluruh untuk mencegah serangan type confusion, audit kode secara komprehensif, validasi semua input akun, batasi kedalaman panggilan cross-program, dan terapkan pemeriksaan reentrancy meski Solana memiliki perlindungan native.
Mekanisme konsensus dan metode pemrosesan transaksi jaringan Solana memiliki risiko keamanan apa?
Mekanisme konsensus Solana memiliki risiko keamanan seperti penyuapan dan serangan terarah akibat sumber data tepercaya tunggal. Jadwal Leader yang diumumkan sebelumnya memangkas overhead konsensus tetapi meningkatkan kerentanan terhadap gangguan jaringan dan serangan validator.
* Informasi ini tidak bermaksud untuk menjadi dan bukan merupakan nasihat keuangan atau rekomendasi lain apa pun yang ditawarkan atau didukung oleh Gate.
