-
Solana parchó vulnerabilidades en dos programas que permitían robar fondos o acuñar tokens.
-
Un desarrollador opinó que “pudo haber sido el fin de Solana”.
La red Solana (SOL) enfrentó una amenaza que pudo haber comprometido los fondos de los usuarios, pero la resolvió sin alzar la voz.
Las vulnerabilidades detectadas fueron corregidas en privado, lo que generó malestar entre participantes de este ecosistema por la falta de transparencia y su impacto en la descentralización, de acuerdo con SolanaFloor, un sitio especializado en el ecosistema de Solana.
Pese al “enojo” de la comunidad de Solana, resulta relevante resaltar que este tipo de hallazgos, que podrían comprometer a la red, suelen mantenerse en secreto para que precisamente un hacker no conozca el error y lo usufructe.
El núcleo del problema
A mediados de abril, se identificaron fallas críticas en dos programas clave, Token-2022 y ZK ElGamal Proof, que habrían permitido a atacantes acuñar tokens sin límite o vaciar monederos de usuarios.
Sin embargo, esos errores fueron revelados posteriormente, el 2 de mayo, cuando la Fundación Solana publicó un informe post-mortem, en el que explicó el problema entorno al ZK ElGamal Proof.
Este programa, basado en criptografía de conocimiento cero (zero knowledge), permite verificar que una wallet tiene un saldo correcto sin revelar su contenido. Utiliza el cifrado ElGamal, una técnica matemática que aseguraría la privacidad de datos sensibles.
La falla residía en una implementación defectuosa de la transformación Fiat-Shamir, un método que convierte pruebas criptográficas privadas en públicas mediante un hash. En este caso, componentes esenciales no se incluyeron en el hash, lo que permitía crear pruebas falsas que el sistema aceptaba como válidas. De ser explotado, esto habría habilitado a un atacante a manipular transacciones o generar tokens sin límites.
Por su parte, Token-2022 es un estándar de tokens en Solana que introduce funciones como reglas personalizadas para transacciones, tarifas dinámicas y tokens con intereses. Compatible con el sistema SPL original, que define cómo operan los tokens y protocolos en esta red, Token-2022 ofrecería mayor flexibilidad a desarrolladores. Sin embargo, su vulnerabilidad también dejaba a los fondos expuestos a posibles robos masivos.
El 18 de abril, apenas dos días después de identificar la falla, los principales validadores de la red, según SolanaFloor, adoptaron dos parches correctivos. Este proceso, sin embargo, se llevó a cabo sin notificar públicamente a los usuarios ni convocar a un debate abierto, lo que desató críticas.
Según esa misma fuente, esta actualización “privada” generó un gran malestar en la comunidad y evidenció una centralización preocupante.
Voces de preocupación
El 7 de mayo, el desarrollador de BasePumpFun (una plataforma para emitir tokens en la capa 2 de Ethereum Base) conocido en X como The Smart Ape, expresó su preocupación: «Admitieron que estuvieron extremadamente cerca de un exploit que habría permitido acuñar tokens ilimitados y robar de cualquier billetera. Podría haber sido el fin de Solana».
Añadió que, aunque no se reportaron ataques aprovechando la vulnerabilidad, la corrección se manejó «a puertas cerradas, sin voto comunitario ni transparencia». Para él, la dependencia de un pequeño grupo de validadores plantea serias dudas sobre la descentralización de Solana.
Conforme a los datos compartidos por The Smart Ape, cuatro principales validadores de Solana controlan cerca del 80% de SOL en staking, lo que facilita decisiones unilaterales y refuerza la queja sobre la centralización de aquellos participantes. Entre estos validadores se encuentran plataformas de finanzas descentralizadas (DeFi) y pools de staking de exchanges, como Jito, Binance Staking, Marinade y Jupiter.
No obstante, revisando datos de los exploradores de bloques de Solana, tanto Solscan como Solana Beach ofrecen cifras distintas a las expuestas por The Smart Ape en relación con los validadores.
De acuerdo con esos dos sitios, de los 1.300 validadores existentes, plataformas como Helius, Binance Staking, Galaxy y Coinbase son quienes ostentan los mayores porcentajes de staking de SOL, y cada uno de ellos representando entre el 2% y 3% del total de SOL en staking.
Las diferencias en el conteo de validadores entre exploradores de Solana son habituales debido a la naturaleza dinámica de las redes. Cada explorador utiliza métodos distintos para rastrear nodos activos, como la frecuencia de sondeo o los criterios para considerar un validador «en línea», lo que genera pequeñas discrepancias en las cifras reportadas.
Así, la falta de comunicación previa al parche y la publicación del informe solo tras resolver el problema alimentaron las críticas. Para muchos, este episodio pone en cuestión el equilibrio entre eficiencia y apertura en una red que se presenta como descentralizada, mientras que también es cierto que hubiera sido un riesgo anoticiar lo ocurrido antes de resolverlo.
