Achter de schermen heeft Solana een serieus lek gedicht. Door een fout in de code was het mogelijk om in het geheim onbeperkt tokens aan te maken – zónder dat iemand het zou merken. En hoewel het probleem inmiddels is opgelost, levert vooral de manier waarop dat gebeurde veel discussie op in de crypto-community.

Wat was er aan de hand?

Op 16 april ontdekten onderzoekers een kwetsbaarheid in de zogeheten Token-22 confidential tokens van Solana. Deze tokens maken gebruik van zero-knowledge proofs – een cryptografische techniek waarmee je transacties kunt verifiëren zonder gevoelige informatie prijs te geven. Ideaal voor wie privacy belangrijk vindt.

Maar juist die techniek bleek een zwakke plek te hebben. Door een fout in de onderliggende wiskundige berekeningen kon een aanvaller een nep-bewijs maken en zo tokens creëren of zelfs tokens uit andere wallets halen. Een zogeheten ‘zero-day bug’ dus: een kwetsbaarheid die nog niet eerder was ontdekt en direct misbruikt kon worden.

Gelukkig gebeurde dat niet. Er is geen bewijs dat de fout ook daadwerkelijk is uitgebuit. Solana reageerde snel en bracht binnen twee dagen een patch uit. Inmiddels draaien de meeste validators – de partijen die het netwerk draaiende houden – op de aangepaste software.

Centrale aanpak roept vragen op

Toch gaat het gesprek vooral over iets anders: de manier waarop het lek is opgelost. De Solana Foundation coördineerde de update direct met alle validators – iets wat vragen oproept over hoe decentraal het netwerk eigenlijk is.

Een ontwikkelaar van Curve Finance vond het opvallend dat de Foundation blijkbaar toegang heeft tot de contactgegevens van alle validators.

“Wat wordt daar nog meer besproken achter gesloten deuren?” vroeg hij zich af.

De zorg: als je met een paar partijen de hele keten kunt beïnvloeden, is censuur of een rollback niet ondenkbaar.

Solana vs Ethereum

Solana-oprichter Anatoly Yakovenko reageerde door te wijzen naar Ethereum. Ook daar is volgens hem de macht geconcentreerd bij een paar grote spelers zoals Lido, Binance en Coinbase. Als daar een lek zit, is coördinatie ook noodzakelijk, stelt hij.

Toch ziet niet iedereen dat zo. Ethereum-communitylid Ryan Berckmans benadrukte dat Ethereum meerdere onafhankelijke softwareclients heeft. Bij Solana is er op dit moment maar één client: Agave.

“Als daar iets misgaat, heb je meteen een protocolprobleem,” zegt hij. “De software is het protocol.”

Komt er verandering?

Er is wel licht aan het eind van de tunnel. Solana werkt al een tijd aan Firedancer, een tweede client die later dit jaar live moet gaan. Die moet zorgen voor meer stabiliteit én meer decentralisatie op software-niveau.

Wat betekent dit voor jou?

Voor de gemiddelde gebruiker is er weinig reden tot paniek: er zijn geen fondsen gestolen en het probleem is snel opgelost. Maar voor wie Solana volgt als investering of technologie, is dit een reminder dat snelheid soms ten koste gaat van decentralisatie – en dat blijft een gevoelig punt in de cryptowereld.