Solana歷史上曾發生過哪些重大的安全風險與智能合約漏洞

2026-01-12 08:06:37

區塊鏈

DeFi

ETF

Solana

文章評價 : 3

120 個評價

深入分析 Solana 面臨的主要安全風險，涵蓋 5800 萬美元供應鏈攻擊、智能合約漏洞、預言機操控、閃電貸攻擊及網路可靠性挑戰。同步探討企業及機構託管服務的風險管理策略。

供應鏈攻擊與錢包安全漏洞：2022年8月5億8千萬美元事件

2022年8月這起事件成為Solana生態安全的重要里程碑。2022年8月2日，數千個Solana錢包發生嚴重安全漏洞，私鑰外洩被用作授權虛假交易。約7,900個錢包遭受高度供應鏈攻擊，初步損失超過520萬美元。事件揭露Solana主流錢包的關鍵安全弱點，受影響錢包包括Slope，以及提供數位資產管理功能的Phantom和Solflare等平台。

此次攻擊針對Solana錢包開發者所依賴的軟體元件，透過供應鏈環節植入惡意程式。攻擊者將惡意npm套件注入開發環境，導致熱錢包私鑰資訊外洩。這一漏洞根本地破壞用戶加密資產安全。事件顯示，錢包安全不僅仰賴單一應用架構，更需重視支撐Solana錢包之依賴套件及整體供應鏈生態的安全性。

除了直接資金損失，此次供應鏈攻擊也深刻揭示熱錢包在區塊鏈體系中的風險。事件反映Solana錢包基礎設施面臨更複雜攻擊威脅，促使生態系統加強依賴項安全稽核及軟體驗證流程。

智能合約安全漏洞與DeFi風險：預言機操縱與閃電貸攻擊

預言機操縱與價格數據漏洞

預言機操縱已成為威脅Solana DeFi協議安全的核心風險之一。當智能合約仰賴外部價格數據完成交易時，攻擊者可能利用價格機制中的漏洞。Mango Markets曾因預言機遭操縱而蒙受重大損失，彰顯仰賴預言機系統於協同攻擊下的脆弱性。

閃電貸攻擊也是Solana DeFi生態主要威脅之一。攻擊者得以在單次交易中借入大量資金，製造非真實價格波動。利用閃電貸發起大額交易，可暫時抽乾流動池流動性，導致以DEX餘額為基準的現貨價格劇烈波動。雖僅在交易執行期間出現短暫失真，卻足以攻擊依賴該價格的智能合約邏輯。

預言機操縱與閃電貸攻擊結合後，風險進一步升高。攻擊者透過閃電貸調整資金池代幣餘額，製造虛假價格訊號，協議誤判為真實市場數據。交易完成並還款後，攻擊行為難以追溯，但協議資金已遭竊。DeFi安全研究顯示，這類複合攻擊已在行業內造成數百萬美元損失，強調協議急需完善的價格校驗機制與閃電貸防禦措施。

託管依賴與網路可靠性：ETF託管風險及歷史斷線隱憂

Solana ETF資產託管高度依賴機構級託管方，負責管理關鍵網路基礎設施，包括處理與結算交易所需的驗證節點及RPC節點。這些託管依賴帶來集中化風險，進一步影響網路整體可靠性。Solana歷史斷線事件揭露ETF營運的結構性脆弱：自主網上線以來，重大中斷事件達7次，5次因驗證節點用戶端Bug，2次因交易垃圾流量衝擊。2021年9月，機器人流量造成網路中斷17小時，2023年2月又因區塊修復問題出現長時間斷線，皆直接影響託管操作及交易結算。網路停擺時，託管方無法處理交易或結算ETF部位，嚴重干擾ETF服務。託管服務高度集中於少數機構，進一步加大多方同步受影響時的單點故障風險。值得注意的是，Solana升級路線（如Firedancer用戶端重構）正以提升用戶端多樣性和效能，改善歷史可靠性問題。這項持續優化對機構採用至關重要，ETF託管必須具備穩定可靠的網路與持續交易處理能力，以符合法規及營運標準。