Une faille critique découverte dans les Token-22 de Solana a été rapidement colmatée par les développeurs. Mais ce succès technique a ravivé les débats sur la centralisation du réseau. Décryptage d'un épisode qui pose de sérieuses questions sur les garanties de décentralisation.
Le 16 avril 2025, les chercheurs en sécurité ont identifié une vulnérabilité « zero-day » affectant les programmes Token-2022 et ZK ElGamal Proof de Solana. Cette faille permettait en théorie de minter de manière illimitée des jetons confidentiels Token-22, une extension basée sur les preuves à divulgation nulle de connaissance (zk-proofs).
Selon le rapport post-mortem de la Fondation Solana, le problème résidait dans une erreur de hachage de certains composants mathématiques lors de la transformation de Fiat-Shamir, fragilisant la vérification cryptographique des preuves. Heureusement, aucune exploitation malveillante n’a été détectée avant la correction.
Malgré la réactivité des équipes de développement et des validateurs pour déployer un correctif en 48 heures, la gestion de cet incident a suscité de vives critiques au sein de la communauté crypto. Certains s’interrogent en effet sur le manque de transparence de la Fondation Solana dans la coordination avec les validateurs.
« Pourquoi une entité dispose-t-elle de toutes les coordonnées des validateurs ? Quelles discussions ont lieu dans ces canaux privés ? » s’inquiète notamment un contributeur de Curve Finance, craignant une potentielle censure ou un rollback orchestré du réseau.
Le cofondateur de Solana Labs, Anatoly Yakovenko, a tenté de relativiser en comparant cette situation d’urgence à la capacité de coordination des principaux acteurs d’Ethereum en cas de bug critique. Mais cette analogie a été vivement rejetée par un membre influent de la communauté Ethereum, Ryan Berckmans.
Selon Berckmans, la différence fondamentale réside dans la diversité des clients. Alors que Geth ne représente qu’au maximum 41% du marché sur Ethereum, Solana ne dispose actuellement que d’un seul client pleinement opérationnel : Agave.
« Sur Solana, un bug dans le seul client disponible est, de facto, un bug de protocole. Modifier le client équivaut à modifier le protocole. Il n’y a aucune séparation fonctionnelle », déplore-t-il.
La Fondation Solana mise cependant sur l’arrivée en 2025 du client alternatif Firedancer, censé renforcer la résilience et la robustesse du réseau. Mais selon Berckmans, Solana aurait besoin d’au moins trois clients distincts pour prétendre à une véritable décentralisation au niveau protocolaire.
La faille de sécurité Solana illustre les défis propres aux blockchains à gouvernance centralisée, un sujet de préoccupation majeur pour les acteurs français et européens – régulateurs, investisseurs ou développeurs.
Alors que l’Europe affine le cadre réglementaire MiCA, la robustesse de l’infrastructure sous-jacente des tokens émis prend une importance capitale. Cet épisode pourrait ainsi servir d’exemple pour de futures certifications ou critères d’intégration des projets d’actifs numériques.
Si Solana a démontré une réactivité exemplaire, la méthode employée soulève des questions légitimes sur la gouvernance technique du réseau. La diversité des clients, la transparence dans la gestion des incidents et la capacité à absorber des crises sans compromettre la neutralité sont désormais des critères d’analyse cruciaux.
La faille de sécurité Solana est un signal d’alerte : la quête de performance et d’innovation ne peut se faire au détriment des principes fondamentaux de décentralisation. Un rappel important pour tout l’écosystème crypto, à l’heure où les enjeux de confiance et de sécurité sont plus cruciaux que jamais.
Sur le même sujet :
Cet article est publié à titre indicatif et ne doit pas être considéré comme un conseil en investissement. Certains des partenaires présentés sur ce site peuvent ne pas être régulés dans votre pays. Il est de votre responsabilité de vérifier la conformité de ces services avec les régulations locales avant de les utiliser.
Attention aux risques : La négociation de crypto-monnaies et d’instruments financiers comporte des risques élevés, notamment la perte partielle ou totale de votre capital, et peut ne pas convenir à tous les investisseurs en raison de la forte volatilité des marchés et des facteurs économiques, politiques ou réglementaires pouvant influencer les prix. Avant d’investir, vous devez évaluer attentivement vos objectifs, votre niveau d’expérience et votre tolérance au risque, et consulter un conseiller financier indépendant si nécessaire. Les informations publiées sur InvestX.fr et sur l’application InvestX sont fournies à titre informatif et ne constituent pas des conseils en investissement. InvestX décline toute responsabilité concernant l’exactitude ou l’utilisation des informations diffusées, et rappelle que certains partenaires présentés sur le site peuvent ne pas être régulés dans votre juridiction, ce qu’il vous appartient de vérifier avant toute utilisation de leurs services.
