Jaringan blockchain Solana berhasil menghindari potensi bencana setelah para validator dengan cepat menggulirkan patch untuk menutup celah keamanan serius pada salah satu programnya. Bug tersebut berpotensi memungkinkan pelaku mengeksploitasi sistem untuk mencetak Token-22 dalam jumlah tak terbatas atau menarik token dari akun mana pun.

Menurut laporan postmortem dari Solana Foundation, kerentanan ditemukan dalam program ZK ElGamal Proof, yang digunakan untuk memverifikasi keseimbangan terenkripsi dan validitas zero-knowledge proof.

“Beberapa komponen aljabar tidak dimasukkan dalam hash yang digunakan untuk menghasilkan transkrip pada Transformasi Fiat-Shamir,” jelas laporan tersebut. Hal ini memungkinkan bukti palsu lolos verifikasi.

Bug pertama kali dilaporkan ke Anza Github Security Advisory pada 16 April dan langsung dinilai serta dikonfirmasi oleh tim teknis dari Anza, Firedancer, dan Jito. Patch pertama didistribusikan kepada para operator validator keesokan harinya, dan pada 18 April, sebagian besar validator telah menerapkan pembaruan tersebut. Sebuah patch kedua juga dirilis untuk memperbaiki masalah serupa di bagian lain dari kode sumber.

Tak ada dana pengguna yang diketahui tereksploitasi selama masa kerentanan tersebut. Patch diperiksa oleh sejumlah firma keamanan independen, termasuk Asymmetric Research, Neodyme, dan OtterSec.

Namun, tindakan diam-diam yang diambil Solana Foundation memicu kritik di media sosial. Beberapa pengguna menyoroti kurangnya transparansi dalam penanganan bug, karena publik baru diberitahu dua minggu setelah patch diterapkan. Salah satu pengembang dari ekosistem Ethereum menulis, “>70% validator secara diam-diam sepakat untuk memperbaiki bug kritis sebelum informasi itu dipublikasikan.”

Menanggapi kritik ini, Tim Garcia dari Solana Foundation menyatakan bahwa distribusi patch secara tertutup adalah langkah yang perlu untuk mencegah eksploitasi sebelum pembaruan diterapkan secara luas. “Saya senang mendengar saran tentang proses yang lebih baik. Sayangnya, melakukan pendistribusian ke publik sebelum adopsi yang memadai bukanlah hal yang tepat.” ujarnya.

Pengembang Ethereum veteran, Hudson Jameson, juga membela pendekatan tersebut, mengatakan bahwa hal serupa telah terjadi pada jaringan Bitcoin, Zcash, dan Ethereum.

Solana, yang saat ini memiliki 1.279 validator aktif menurut situs resminya, telah beberapa kali menghadapi kritik terkait sentralisasi. Meski demikian, para pemimpin ekosistem Solana terus menegaskan bahwa desentralisasi diukur secara objektif melalui metrik teknis, bukan persepsi.