Descubre los principales riesgos de seguridad en Solana, como el ataque a la cadena de suministro por 580 millones de dólares, los exploits en smart contracts, la manipulación de oráculos, los ataques de préstamos flash y las incidencias en la fiabilidad de la red. Aprende estrategias de gestión de riesgos dirigidas a empresas y a operaciones de custodia institucional.
Ataques a la cadena de suministro y vulnerabilidades en wallets: la brecha de 580 millones de dólares en agosto de 2022
El incidente de agosto de 2022 supuso un antes y un después para la seguridad del ecosistema Solana. El 2 de agosto de 2022, miles de wallets vinculadas a Solana sufrieron una grave violación de seguridad: claves privadas fueron filtradas y explotadas para autorizar transacciones fraudulentas. Aproximadamente 7 900 wallets resultaron afectadas por este sofisticado ataque a la cadena de suministro, con pérdidas que superaron los 5,2 millones de dólares en la primera oleada. La brecha reveló vulnerabilidades clave en aplicaciones populares de wallets de Solana, en especial Slope, junto a otras plataformas como Phantom y Solflare, que permiten gestionar activos digitales en la red.
El ataque se basó en comprometer la cadena de suministro, atacando las dependencias de software empleadas por los desarrolladores de wallets de Solana. Paquetes npm maliciosos se inyectaron en el entorno de desarrollo, exponiendo claves privadas almacenadas en wallets calientes. Esta vulnerabilidad comprometió de raíz la infraestructura de seguridad en la que los usuarios confían para proteger sus criptomonedas. El incidente evidenció que la seguridad de los wallets depende tanto de la arquitectura de cada aplicación como de toda la cadena de dependencias y librerías que sustentan los wallets de Solana.
Además de las pérdidas económicas inmediatas, este ataque a la cadena de suministro puso en evidencia la fragilidad de los hot wallets en los ecosistemas blockchain. La brecha mostró cómo la infraestructura de wallets de Solana enfrentaba amenazas sofisticadas que superan las prácticas de seguridad convencionales, impulsando al ecosistema a reforzar los protocolos de auditoría y a establecer procedimientos de validación más estrictos para las dependencias de software.
Exploits de smart contracts y riesgos DeFi: manipulación de oráculos y ataques de flash loan
Manipulación de oráculos y vulnerabilidades en fuentes de precio
La manipulación de oráculos se ha consolidado como una de las amenazas más relevantes para los protocolos DeFi en Solana. Cuando los smart contracts dependen de datos de precios externos para ejecutar transacciones, los atacantes pueden aprovechar fallos en la determinación de esos precios. Un caso destacado fue Mango Markets, donde el protocolo sufrió pérdidas significativas debido a la manipulación de fuentes de precio, dejando patente la vulnerabilidad de los sistemas dependientes de oráculos ante estrategias coordinadas de ataque.
Los ataques de flash loan suponen otro vector crítico de explotación en el ecosistema DeFi de Solana. Permiten a los prestatarios obtener grandes sumas de capital en una sola transacción, generando movimientos artificiales en los precios. Al ejecutar operaciones de gran volumen financiadas mediante flash loans, los atacantes pueden vaciar temporalmente la liquidez de los pools, provocando alteraciones bruscas en los precios spot calculados directamente a partir de los balances en DEX. Esta distorsión sólo persiste durante la ejecución de la transacción, pero es suficiente para explotar la lógica de los smart contracts que dependen de precios manipulados.
La combinación de manipulación de oráculos y ataques de flash loan crea escenarios especialmente peligrosos. Un atacante puede sesgar artificialmente los balances de un pool mediante un flash loan, generando señales de precio falsas que el protocolo interpreta como datos legítimos de mercado. Al terminar la transacción y devolver el préstamo, el ataque apenas deja rastro, pero el protocolo ya ha sufrido pérdidas. Los estudios sobre seguridad DeFi señalan que estos vectores de ataque combinados han causado pérdidas de millones de dólares en criptomonedas en el ecosistema, remarcando la urgencia de que los protocolos implementen mecanismos sólidos de verificación de precios y estrategias de resistencia a los flash loan.
Dependencias de custodia y fiabilidad de red: riesgos de custodia de ETF y problemas históricos de inactividad
La custodia de ETF en Solana depende de custodios institucionales que gestionan infraestructura crítica, como validadores y nodos RPC, esenciales para el procesamiento y la liquidación de transacciones. Estas dependencias generan riesgos de concentración que pueden agravar los problemas de fiabilidad de red. El historial de caídas de Solana revela vulnerabilidades estructurales que afectan la operativa de ETF: siete incidentes principales desde el lanzamiento, cinco debidos a bugs en clientes de validadores y dos por inundación de spam de transacciones. El paro de la red en septiembre de 2021 se prolongó 17 horas tras el colapso por tráfico de bots, mientras que en febrero de 2023 se produjo otra interrupción por problemas de reparación de bloques, en ambos casos mostrando cómo la pérdida de actividad afecta directamente las operaciones de custodia y la finalización de transacciones. Cuando la red se detiene, los custodios no pueden procesar ni liquidar posiciones, lo que genera disrupciones operativas para los proveedores de ETF. La concentración del servicio de custodia en un número reducido de proveedores institucionales intensifica estos riesgos, creando puntos únicos de fallo si los problemas de infraestructura afectan a varios custodios a la vez. Sin embargo, la hoja de ruta de Solana, con el rediseño del cliente validador Firedancer, aborda estas preocupaciones históricas mediante la diversificación de clientes y mejoras de rendimiento. Esta evolución es clave para la adopción institucional, pues la custodia de ETF exige resiliencia demostrable de la red y procesamiento constante de transacciones para cumplir con las normativas y estándares operativos.
FAQ
¿Cuáles han sido los principales fallos de seguridad y ataques en la historia de Solana?
Solana ha sufrido grandes brechas de seguridad, incluyendo el robo de 58 millones de dólares en MEXC y el ataque de 36 millones de dólares a Upbit en 2025. Otros incidentes incluyen el compromiso de la cadena de suministro en @solana/web3.js, vulnerabilidades en smart contracts como exploits de reentrancy y ataques de phishing a wallets dirigidos a usuarios de Phantom.
¿Qué tipos de vulnerabilidad son más comunes en los smart contracts de Solana?
Las vulnerabilidades habituales en los smart contracts de Solana incluyen desbordamiento de valores, errores de precisión aritmética, retorno de errores no gestionados, falta de control de permisos en la inicialización, comprobación insuficiente del Account Owner, verificación deficiente de cuentas PDA y defectos en la validación de firmas.
¿Cómo afectan las vulnerabilidades de ejecución y los problemas de validación de cuentas de Solana a la seguridad de la red?
La vulnerabilidad de ejecución de Solana en la implementación de pruebas de conocimiento cero de Token-2022 planteó riesgos de seguridad al permitir la validación incorrecta de transacciones. Aunque no se produjo explotación, la coordinación privada del parcheo con el 70 % de los validadores generó dudas sobre la centralización de validadores y la gobernanza descentralizada en sistemas blockchain.
¿Qué riesgos de seguridad específicos presentan los smart contracts de Solana frente a Ethereum?
Los smart contracts de Solana afrontan riesgos vinculados a la ejecución paralela y la complejidad en la gestión de estados de cuentas. A diferencia de la ejecución secuencial de Ethereum, el modelo concurrente de Solana puede provocar condiciones de carrera. Además, Solana no dispone de protecciones integradas contra reentrancy como las de Ethereum, por lo que los desarrolladores deben crear salvaguardas propias.
¿Cómo se desarrollan smart contracts seguros en Solana y qué cuestiones clave requieren atención?
Utilice el framework Anchor para el desarrollo, implemente una validación rigurosa de cuentas para evitar ataques de confusión de tipo, realice auditorías exhaustivas de código, valide todos los inputs de cuentas, limite la profundidad de llamadas entre programas y aplique comprobaciones de reentrancy, incluso con las protecciones nativas de Solana.
¿Qué riesgos de seguridad presentan el mecanismo de consenso y los métodos de procesamiento de transacciones en la red Solana?
El mecanismo de consenso de Solana implica riesgos como sobornos y ataques selectivos, derivados de contar con una única fuente de datos confiable. El calendario de Leader predivulgado reduce la sobrecarga de consenso, pero aumenta la vulnerabilidad ante interrupciones de red y ataques a validadores.
* La información no pretende ser ni constituye un consejo financiero ni ninguna otra recomendación de ningún tipo ofrecida o respaldada por Gate.
