Познакомьтесь с ключевыми угрозами безопасности Solana: атакой на цепочку поставок в размере $580 млн, эксплойтами смарт-контрактов, манипуляциями оракулом, атаками flash loan и вопросами надежности сети. Узнайте, какие методы управления рисками применяются в корпоративных и институциональных системах хранения.
Атаки на цепочку поставок и уязвимости кошельков: инцидент августа 2022 года на сумму $580 млн
Августовский инцидент 2022 года стал знаковым событием в истории безопасности экосистемы Solana. 2 августа 2022 года тысячи Solana-кошельков подверглись критическому взлому — приватные ключи были утрачены и использованы для мошеннических транзакций. Около 7 900 кошельков стали жертвами комплексной атаки на цепочку поставок; только в первой волне потери превысили $5,2 млн. Взлом выявил существенные уязвимости в популярных Solana-кошельках, прежде всего Slope, а также на платформах Phantom и Solflare, предназначенных для управления цифровыми активами в сети.
Атака была реализована через компрометацию цепочки поставок, затронувшую программные зависимости, используемые разработчиками Solana-кошельков. Вредоносные npm-пакеты были внедрены в процесс разработки, что привело к утечке приватных ключей из hot wallet. Эта уязвимость подорвала критическую инфраструктуру безопасности, на которую пользователи полагаются для защиты криптовалютных активов. Инцидент показал, что безопасность кошелька зависит не только от архитектуры самого приложения, но и от всей цепочки программных зависимостей и библиотек, используемых в Solana-экосистеме.
Кроме непосредственных финансовых потерь, атака на цепочку поставок продемонстрировала уязвимость hot wallet в блокчейн-среде. Взлом показал, что Solana-кошельки сталкиваются с угрозами, которые превосходят стандартные меры защиты, что привело к внедрению новых протоколов аудита и более строгих процедур проверки программных зависимостей.
Эксплойты смарт-контрактов и риски DeFi: манипулирование оракулами и flash loan-атаки
Манипулирование оракулами и уязвимости ценовых фидов
Манипуляции с оракулами стали одной из наиболее серьёзных угроз для DeFi-протоколов Solana. Когда смарт-контракты используют сторонние ценовые данные для проведения транзакций, злоумышленники могут воспользоваться уязвимостями в механизмах определения цен. Примером стала атака на Mango Markets, где протокол понёс значительные убытки из-за манипуляции ценовым фидом, что показало, насколько уязвимы системы, зависящие от оракулов, при скоординированных действиях атакующих.
Flash loan-атаки — другой критически важный вектор угроз для DeFi-экосистемы Solana. Такие атаки позволяют заемщикам получить крупные суммы капитала в рамках одной транзакции, искусственно воздействуя на цену актива. Проводя крупные сделки за счёт flash loan, злоумышленники могут временно выводить ликвидность из пулов, вызывая резкие скачки или падения спотовых цен, рассчитываемых на основе балансов DEX. Эти искажения сохраняются только на время самой транзакции, однако этого достаточно для эксплуатации логики смарт-контрактов, опирающихся на манипулируемые ценовые показатели.
Комбинированное использование манипуляций с оракулами и flash loan-атак приводит к особенно опасным сценариям. Атакующий с flash loan может искусственно изменить балансы токенов в пуле, сформировать ложные ценовые сигналы, которые протоколы воспринимают как реальные рыночные данные. После завершения транзакции и возврата займа атака практически не оставляет следов, при этом протокол несёт убытки. Исследования DeFi-безопасности показывают, что такие комбинированные атаки привели к многомиллионным потерям криптовалют по всей экосистеме, что подчёркивает необходимость внедрения надёжных механизмов верификации цен и стратегий защиты от flash loan.
Кастодиальные зависимости и надёжность сети: риски хранения ETF и исторические проблемы с доступностью
Хранение Solana ETF зависит от институциональных кастодианов, управляющих критической инфраструктурой сети: валидаторами и RPC-узлами, необходимыми для обработки и расчёта транзакций. Кастодиальные зависимости создают концентрационные риски, усиливающие проблемы надёжности сети. История перебоев работы Solana выявила структурные уязвимости, влияющие на операции ETF — с момента запуска зафиксировано семь крупных инцидентов: пять связаны с ошибками клиента валидатора, два — с перегрузкой сети из-за транзакционного спама. В сентябре 2021 года сеть была остановлена на 17 часов после того, как бот-трафик превысил пропускную способность, а в феврале 2023 года произошёл длительный сбой из-за проблем с восстановлением блоков. Оба случая продемонстрировали, что остановка сети напрямую влияет на операции хранения и финализацию транзакций. При сбое кастодианы не могут проводить транзакции или закрывать позиции, что приводит к операционным сбоям у ETF-провайдеров. Концентрация услуг хранения среди ограниченного числа институциональных кастодианов усиливает риски, создавая точки отказа при одновременных инфраструктурных проблемах у нескольких провайдеров. Вместе с тем, обновления Solana, включая редизайн клиента-валидатора Firedancer, направлены на устранение исторических проблем надёжности за счёт диверсификации клиентов и повышения производительности. Этот прогресс имеет ключевое значение для институционального внедрения, поскольку хранение ETF требует устойчивости сети и стабильной обработки транзакций для соответствия нормативным и операционным требованиям.
FAQ
Какие крупные уязвимости и атаки происходили в истории Solana?
Solana подвергалась серьёзным взломам, включая кражу $58 млн с MEXC и атаку на $36 млн на Upbit в 2025 году. Были также инциденты с компрометацией цепочки поставок @solana/web3.js, уязвимости смарт-контрактов типа reentrancy-эксплойтов и фишинговые атаки на пользователей Phantom.
Какие типы уязвимостей наиболее распространены в смарт-контрактах Solana?
В смарт-контрактах Solana часто встречаются переполнение числовых значений, ошибки точности вычислений, необработанные ошибки возврата, отсутствие контроля инициализации прав доступа, недостаточная проверка Account Owner, слабая проверка PDA-аккаунтов и дефекты верификации подписи.
Как уязвимости исполнения и проблемы с проверкой аккаунтов в Solana влияют на безопасность сети?
Уязвимость исполнения в реализации zero-knowledge proof в Token-2022 создавала потенциальные риски некорректной проверки транзакций. Хотя эксплойт не был реализован, закрытая координация патча с 70 % валидаторов вызвала вопросы о централизации и принципах децентрализованного управления блокчейн-системой.
Чем уникальные риски безопасности смарт-контрактов Solana отличаются от Ethereum?
Смарт-контракты Solana подвержены рискам параллельного исполнения и сложности управления состоянием аккаунтов. В отличие от последовательной обработки Ethereum, модель Solana с одновременным исполнением может привести к состязательным ситуациям. Также в Solana нет встроенной защиты от reentrancy, как в Ethereum, что требует реализации собственных механизмов защиты.
Как создавать безопасные смарт-контракты на Solana и что важно учитывать?
Рекомендуется использовать фреймворк Anchor, реализовать строгую проверку аккаунтов для предотвращения type confusion-атак, проводить комплексный аудит кода, валидировать все входные данные аккаунтов, ограничивать глубину перекрёстных вызовов программ и внедрять проверки на reentrancy, несмотря на базовые защиты Solana.
Какие риски безопасности связаны с механизмом консенсуса и методами обработки транзакций в сети Solana?
Механизм консенсуса Solana несёт риски подкупа и целевых атак из-за единого доверенного источника данных. Предварительно раскрытый график Leader снижает нагрузку на консенсус, но увеличивает уязвимость к сетевым сбоям и атакам на валидаторов.
* Информация не предназначена и не является финансовым советом или любой другой рекомендацией любого рода, предложенной или одобренной Gate.
