Au milieu du mois d’avril 2025, la Fondation Solana a découvert et corrigé en urgence une vulnérabilité critique au sein du protocole, pouvant permettre la création illimitée ou le retrait non autorisé de tokens « confidentiels » sur le réseau. Une collaboration rapide entre équipes de développement et validateurs a permis de déployer deux correctifs en moins de 48 heures, évitant ainsi une catastrophe dont les conséquences financières et réputationnelles auraient été majeures pour Solana et ses utilisateurs.
Une réaction coordonnée pour un correctif express
La faille a été signalée publiquement le 16 avril par l’équipe Anza, spécialisée dans les outils Solana, qui a publié un rapport technique détaillant les étapes de reproduction du bug. Dès le lendemain, les développeurs de Solana Labs, de Firedancer et de Jito se sont mobilisés pour concevoir un premier correctif, qu’ils ont diffusé auprès des principaux validateurs du réseau via des canaux privés. La coordination s’est poursuivie par l’émission d’un second patch le même jour, destiné à combler une faille similaire détectée dans une autre partie du code. Dès le 18 avril, la majorité des nœuds avait adopté ces mises à jour, garantissant l’application des correctifs avant toute exploitation malveillante.
Mécanisme de la vulnérabilité et risques encourus
La faille concernait le programme ZK ElGamal Proof, composant clé du standard Token-2022 qui permet les transferts confidentiels via des preuves à divulgation nulle de connaissance (zero-knowledge proofs). En omettant certains éléments algébriques lors de la transformation Fiat-Shamir, un attaquant aurait pu générer des preuves falsifiées, ouvrant la porte à la création illimitée de tokens ou au retrait de fonds depuis n’importe quel compte utilisateur. Contrairement aux SPL tokens classiques, ces « Token-22 » offrent des fonctionnalités avancées de confidentialité, ce qui a accentué la gravité de la menace en cas d’exploitation réussie. Les responsables de la Fondation ont confirmé qu’aucune transaction malveillante n’avait été enregistrée avant le correctif, préservant ainsi l’intégrité des actifs des utilisateurs.
Voir aussi : Vitalik Buterin veut rendre Ethereum aussi simple que Bitcoin
Réactions de la communauté et perspectives pour Solana
La rapidité de la réponse a sauvé le réseau d’un incident majeur, mais la gestion privée de la crise a suscité des critiques. Des contributeurs éminents, notamment sur le protocole Curve, ont regretté le manque de transparence et souligné le risque inhérent à la dépendance à un unique client Solana, contrairement à Ethereum qui en possède plusieurs. Toutefois, l’arrivée prochaine du client Firedancer et l’ouverture récente d’un programme de bug bounty à plusieurs millions de dollars laissent entrevoir une amélioration de la résilience et de la décentralisation du réseau. À l’avenir, la Fondation devra concilier efficacité opérationnelle et communication ouverte pour renforcer la confiance des utilisateurs et des investisseurs institutionnels, tout en poursuivant l’innovation sur sa couche L1.
