Solana évite le pire : une faille majeure qui aurait pu couter des millions

Après une chute impressionnante, le cours du SOL reprend des couleurs en enregistrant plus de 20 % de hausse sur les 30 derniers jours. Toutefois, le réseau n’est pas passé loin d’un drame avec la découverte d’un bug majeur. Heureusement, celui-ci a pu être corrigé avant que cela ne soit trop tard.

Cette semaine Bitvavo offre 10k€ de trading gratuit + 20€ à tous les nouveaux inscrits !

Ne ratez pas cette occasion, créez votre compte sur Bitvavo

Lien commercial

Solana : Une faille évitée de peu !

Le 2 mai, la Fondation Solana a dévoilé avoir corrigé un bug critique dans le code de Solana. En pratique, ce bug aurait pu engendrer des pertes massives.

Ainsi, le 16 avril dernier, l’entreprise Anza spécialisée dans le développement sur Solana a tiré la sonnette d’alarme. Celle-ci a rapporté un bug accompagné d’une procédure pour le reproduire.

Rapidement, les développeurs de Jito, Firedance et Anza ont étudié le rapport afin de confirmer l’existence du bug. Une fois le bug confirmé, ils ont mis au point un correctif.

Le 17 avril, ils ont pris contact avec la plupart des validateurs afin de distribuer le correctif. Par la suite, un deuxième patch est venu corriger une faille similaire située autre part dans le code. Finalement, le 18 avril, les deux patchs ont été adoptés par une majorité de validateurs. Corrigeant une fois pour toutes le bug.

Heureusement, les développeurs ont pu corriger la faille avant que celle-ci ne soit exploitée.

Détails de la faille

La blockchain Solana permet de réaliser des transferts confidentiels. Cette fonctionnalité se base sur ZK ElGamal Proof program.

D’une part, Token-2022 est un programme qui permet de gérer le mint de jeton et les comptes sur Solana. D’autre part, ZK ElGamal Proof est un programme qui gère la vérification de preuves zero-knowledges. Une composante centrale à la gestion des transferts confidentiels.

En pratique, la faille se situait dans ZK ElGamal, où certains composants nécessaires à la génération de preuve n’étaient pas correctement inclus.

Un attaquant aurait pu utiliser cela pour générer une preuve falsifiée pour effectuer une action on-chain pour laquelle il n’est pas légitime. Cela lui aurait permis par exemple de minter des jetons types Token-22 ou encore de transférer ces mêmes jetons depuis un compte qu’il ne contrôle pas.

« Cette vulnérabilité n’affecte que les jetons confidentiels Token-22 et permet à un pirate d’effectuer des actions non autorisées telles que le mint d’un nombre illimité de jetons ou le retrait de jetons de n’importe quel compte. »

Débats sur la décentralisation

Sur X, l’annonce de cette faille a eu l’effet d’une bombe. En effet, de nombreux internautes se sont questionnés sur le manque de transparence lors de la correction du bug.

Par exemple, un contributeur du protocole Curve a pointé du doigt le fait que toute la situation ait été gérée de manière privée.

« Le problème est que tout a été fait en privé. Pourquoi quelqu’un dispose-t-il d’une liste de tous les validateurs et de leurs coordonnées ? De quoi d’autre parle-t-on sur ces canaux de communication ? Ils peuvent s’entendre en privé pour censurer les transactions, faire reculer la chaîne ou toute autre chose. »

D’autres ont soulevé le fait que Solana ne repose que sur un client, contrairement à Ethereum qui en dispose de plusieurs. Une situation jugée critique, notamment lorsqu’une faille de ce type est trouvée.

Toutefois, Solana devrait bientôt disposer de deux clients avec l’arrivée dans les prochains mois du client Firedancer. Pour autant, cela ne suffirait pas selon certains développeurs, qui déclarent qu’il faudrait au moins 3 clients pour assurer la décentralisation.

Le leader européen pour investir sur les crypto c'est Bitvavo, la plateforme régulée en Europe. Bitvavo offre 10k€ de trading gratuit + 20€ à tous les nouveaux inscrits !

Ne ratez pas l'occasion, créez votre compte Bitvavo

Lien commercial