2025年4月底,Solana 區塊鏈悄悄修補了一項被專家稱為史上最嚴重的漏洞之一。一項影響Token-2022標準的嚴重缺陷,可能讓惡意份子無限鑄造代幣,並隨意盜取用戶帳戶資產。
雖然Solana基金會和核心開發者成功協調並於漏洞爆發前修補,但他們選擇先私下與超過70%驗證者聯絡、完成修補後才公開披露此事,這一做法引發區塊鏈圈對去中心化、治理及信任的激烈討論。
此次出現在Solana Token-2022標準的漏洞,被視為對其中一條最有前景的Layer-1區塊鏈的生存威脅。問題關鍵位於-ZK ElGamal Proof程式——一個用於零知識密碼學實現私密轉帳的進階模組。
Asymmetric Research的安全研究員發現,驗證邏輯中的關鍵缺陷可繞過密碼學防禦,令惡意分子能完全控制代幣操作。若在修補前被利用,攻擊者可能:
- 利用Token-2022標準,為任何資產無限鑄造代幣,導致相關資產嚴重通脹
- 未經授權,盜取任何錢包或合約內受影響代幣
- 透過偽造代幣衝擊價格預言機及流動池,操縱市場
Solana Labs密碼學研究員陳曉飛博士解釋:「這個漏洞專門針對Token-2022內的私密轉帳功能。標準的零知識驗證演算法在某個邊界情況下,錯誤地讓偽證明過關,使攻擊者可以執行未授權操作。」
修補後發布的技術文件指出,只有採用Token-2022私密轉帳擴展的代幣受影響,而沒有擴散至Solana主流的SPL代幣生態(其總TVL高達147億美元)。
Solana 的 Token-2022:創新是否以安全性為代價?
要理解今次漏洞背景,必須了解Token-2022存在的原因。此標準於2022年底被作為SPL原有代幣方案的大升級推出,旨在賦予Solana於高階金融應用場景的競爭優勢。
該標準引入了多項突破性功能:
- 私密轉帳:交易內容與參與者訊息加密保障隱私
- 轉帳掛鉤:代幣流動時自動觸發程式邏輯,可執行稅收、版稅或合規檢查
- 非可轉移條件:根據特定狀態令代幣暫停可轉性(對合規、歸屬、治理重要)
- 利息型代幣:內建孳息功能,無需外部合約
- 元資料永久性:上鏈且不可更改的代幣元資料
這些功能,明顯是要挑戰以太坊成熟的ERC-20、ERC-721及ERC-1155標準,試圖在DeFi和NFT領域迎頭趕上對手,並克服傳統以太坊高gas費與低吞吐量的問題。
Marinade Finance協議架構師Marco Rodriguez說:「Token-2022實現了區塊鏈資產原生能力的巨大飛躍。但進階密碼技術必然帶來更高的安全風險,這是無可避免的取捨。」
事實上,是最具技術難度的私密轉帳功能,成為今次漏洞焦點。這項以零知識證明實現的隱私技術,其數學複雜度,即使一些老牌區塊鏈項目也非常謹慎採用。
靜悄悄的修補:Solana 如何處理危機
確認漏洞後,Solana核心開發團隊啟動所謂的「協調安全響應流程」。他們沒有即時公開漏洞,避免黑客乘機利用,而是選擇以下做法:
- 只通知部分領導驗證者與節點運營商
- 協調緊湊的升級時段,讓代表超過70%持幣權重的驗證者完成修補
- 大部分網絡節點保護完成後,才向全社群公開漏洞資訊
這種處理方式技術上是成功的—漏洞在未有已知攻擊前即被解決。不過,正因如此,處理流程引爆了社區爭議。
協助修補的Neodyme首席安全官Jackson Williams評論:「安全團隊其實做了行業標準操作:先修再報。但區塊鏈運作的社會契約,跟中心化軟件不同。」
中心化疑慮:爭議的核心
針對Solana做法的主要批評,不是技術修補本身,而是當中曝露出的治理問題。批評指出幾個值得關注的重點:
私下協調網絡
能夠短期內協調70%以上驗證者,意味著存在私密溝通管道,而且決策圈子不大,極有機會形成所謂「驗證者同盟」,將來有能力操控網絡(如審查、壟斷權力)。
缺乏鏈上訊號
與一些要求鏈上投票處理重大變更的區塊鏈不同,Solana這次是線下協調,過程透明度極低,外部無從監察決策細節。
資訊不對稱
當核心開發及少數驗證者掌握要命漏洞資訊,而社群、開發者和持幣者一無所知時,短期造成了權力及知情落差。
著名加密學者Vitalik Buterin於社交媒體評論:「安全固然重要,但過程同樣關鍵。最佳方案應保障安全、最大限度提升透明度,減少需信任的協調。」
歷史回顧:行業對重大修補的先例
過去多條區塊鏈網絡都曾遇上同樣的兩難,只是治理哲學互異:
比特幣通脹漏洞(2018)
2018年9月,比特幣開發者偷偷修復了CVE-2018-17144大漏洞,該漏洞能讓礦工通過雙重支付生成無限BTC。當時開發團隊只先通知礦池,與Solana現今做法相似。不過,比特幣礦池高度去中心化,與Solana較集中的驗證權限有本質區別。
以太坊君士坦丁堡延遲事件(2019)
升級前數小時,以太坊發現EIP-1283潛在攻擊面。核心開發者公開啟動緊急會議並推遲升級。該做法雖提升了透明度,但也讓漏洞短時曝光且未修補。
Polygon的無聲220億漏洞修補(2021)
Polygon低調補上足以危及22億美元資產的漏洞,在公開前已升級了90%節點,並向白帽駭客支付創紀錄200萬美元獎金。Polygon亦因類似的中心化疑慮受批評。
UC Berkeley區塊鏈治理專家張磊博士說:「每條主流鏈都遇過這種難題,各自尋求適合自身治理哲學的平衡點。沒有完美,只有在安全與去中心化理想間取捨。」
Solana系統架構:速度與去中心化的權衡
Solana設計一向偏重效能與用戶體驗,有時無可避免影響去中心化:
驗證者硬件門檻
成為Solana驗證者硬件需求遠高於多數公鏈。2025年5月推薦規格包括24核心CPU、128GB記憶體、2TB NVMe高速硬碟,參與成本高,進一步提高了准入門檻。
Proof-of-History 與主節點選舉
Solana自家的Proof-of-History協議帶來效率優勢,但驗證者需嚴謹協作及精確校時,反而令專業運營商相對有利,業餘用戶難以參與。
權益集中分布
儘管全網驗證節點數量理論上達1,900多個,據DefiLlama分析,頭20名驗證者控制約33%總投注權重,權力結構明顯集中。
前Solana基金會技術員表示:「Solana在架構上就明確選擇了效能優先,這必然帶來一系列治理影響。」 advisor Michael Chen。 「正正因為網絡容許某程度上的驗證人專業化同集中化,所以先可以處理每秒65,000筆交易,而且確保分秒內就能最終確認。」
市場同生態回應
雖然出咗爭議,Solana生態系統表現出極大韌力。喺披露後嘅兩星期內:
- SOL代幣價格最初下跌7%,但之後追回大部分跌幅
- 根據Electric Capital開發者追蹤數據,GitHub上嘅開發者活躍度保持平穩
- Solana DeFi協議總鎖倉價值(TVL)短暫下跌4%,之後回升返披露前水平
Jupiter Aggregator,呢個Solana最大DeFi協議,TVL超過30億美元,發咗聲明支持Solana Foundation處理漏洞方式:「治理透明好重要,但保障用戶資金更加優先。今次冇任何資金被利用,證明危機應對得宜。」
並唔係所有項目都咁支持。Solana最大流動質押供應商Marinade Finance宣布會推出自己嘅驗證人警報系統,以及推動未來安全修補嘅透明度。
前路:安全性同去中心化之間要平衡
今次事件推動咗Solana生態多項治理改革:
正式安全披露框架
Solana Foundation已經宣布會制定一個全面嘅安全披露框架,清楚界定漏洞處理流程,包括咩時候選擇私密定公開披露,以及驗證人協調步驟。
去中心化預警系統
好多獨立開發團隊都緊急研發去中心化警報系統,等驗證人可以集體提出潛在問題,而唔需要靠中央化溝通渠道。
治理多元化
生態內主要參與者,包括Phantom錢包、Magic Eden、Orca等,呼籲通過委託獎勵機制同驗證人子DAO架構,推動治理權限分散。
Solana共同創辦人Anatoly Yakovenko喺最近開發者call上坦承:「今次事件迫使我哋面對一個唔舒服現實——安全回應同去中心化未必永遠可以百分百共存。我哋要建構既能提升安全,又唔妥協去中心化嚴選。」
對區塊鏈行業嘅更大啟示
Solana漏洞連帶處理方式,為整個區塊鏈生態帶嚟幾個重要啟示:
- 進階功能需要進階安全:區塊鏈愈嚟愈多高級加密技術,攻擊面隨之擴大,需要專門安全人才。
- 治理透明需要特別設計:網絡要有心思設計治理架構,既方便安全應對又可維繫信任同透明度。
- 技術同社會層面難分割:區塊鏈嘅社會契約同程式碼一樣咁重要——甚至危機時更關鍵。
- 市場成熟度提升:相對理性嘅市場反應,證明投資者越來越識分技術漏洞同根本設計失誤。
總結:去信任系統嘅矛盾
Solana今次代幣漏洞,突顯咗區塊鏈核心矛盾:設計嚟免信任嘅系統,關鍵時刻都難免要靠信任。
一旦有可能極嚴重嘅漏洞,完美去中心化可能都要暫時讓位畀安全。問題唔係會唔會有妥協,而係妥協點樣架構、公開、同埋限制。
隨住區塊鏈邁向主流應用,每個網絡都要搵到屬於自己安全同去中心化嘅最佳平衡點。對Solana嚟講,今次事件既是一場技術成功,也是一個治理警號——好可能會影響所有高效能區塊鏈未來點樣喺「保護同協議純度」之間跳舞。
未來贏得最多信任嘅網絡,唔一定係從未出現漏洞,而係遇到漏洞時,能夠用最佳方式回應同保持透明。