Solana歷史上曾發生過哪些重大的安全風險與智能合約漏洞

供應鏈攻擊與錢包安全漏洞：2022年8月5億8千萬美元事件

2022年8月這起事件成為Solana生態安全的重要里程碑。2022年8月2日，數千個Solana錢包發生嚴重安全漏洞，私鑰外洩被用作授權虛假交易。約7,900個錢包遭受高度供應鏈攻擊，初步損失超過520萬美元。事件揭露Solana主流錢包的關鍵安全弱點，受影響錢包包括Slope，以及提供數位資產管理功能的Phantom和Solflare等平台。

此次攻擊針對Solana錢包開發者所依賴的軟體元件，透過供應鏈環節植入惡意程式。攻擊者將惡意npm套件注入開發環境，導致熱錢包私鑰資訊外洩。這一漏洞根本地破壞用戶加密資產安全。事件顯示，錢包安全不僅仰賴單一應用架構，更需重視支撐Solana錢包之依賴套件及整體供應鏈生態的安全性。

除了直接資金損失，此次供應鏈攻擊也深刻揭示熱錢包在區塊鏈體系中的風險。事件反映Solana錢包基礎設施面臨更複雜攻擊威脅，促使生態系統加強依賴項安全稽核及軟體驗證流程。

智能合約安全漏洞與DeFi風險：預言機操縱與閃電貸攻擊

預言機操縱與價格數據漏洞

預言機操縱已成為威脅Solana DeFi協議安全的核心風險之一。當智能合約仰賴外部價格數據完成交易時，攻擊者可能利用價格機制中的漏洞。Mango Markets曾因預言機遭操縱而蒙受重大損失，彰顯仰賴預言機系統於協同攻擊下的脆弱性。

閃電貸攻擊也是Solana DeFi生態主要威脅之一。攻擊者得以在單次交易中借入大量資金，製造非真實價格波動。利用閃電貸發起大額交易，可暫時抽乾流動池流動性，導致以DEX餘額為基準的現貨價格劇烈波動。雖僅在交易執行期間出現短暫失真，卻足以攻擊依賴該價格的智能合約邏輯。

預言機操縱與閃電貸攻擊結合後，風險進一步升高。攻擊者透過閃電貸調整資金池代幣餘額，製造虛假價格訊號，協議誤判為真實市場數據。交易完成並還款後，攻擊行為難以追溯，但協議資金已遭竊。DeFi安全研究顯示，這類複合攻擊已在行業內造成數百萬美元損失，強調協議急需完善的價格校驗機制與閃電貸防禦措施。

託管依賴與網路可靠性：ETF託管風險及歷史斷線隱憂

Solana ETF資產託管高度依賴機構級託管方，負責管理關鍵網路基礎設施，包括處理與結算交易所需的驗證節點及RPC節點。這些託管依賴帶來集中化風險，進一步影響網路整體可靠性。Solana歷史斷線事件揭露ETF營運的結構性脆弱：自主網上線以來，重大中斷事件達7次，5次因驗證節點用戶端Bug，2次因交易垃圾流量衝擊。2021年9月，機器人流量造成網路中斷17小時，2023年2月又因區塊修復問題出現長時間斷線，皆直接影響託管操作及交易結算。網路停擺時，託管方無法處理交易或結算ETF部位，嚴重干擾ETF服務。託管服務高度集中於少數機構，進一步加大多方同步受影響時的單點故障風險。值得注意的是，Solana升級路線（如Firedancer用戶端重構）正以提升用戶端多樣性和效能，改善歷史可靠性問題。這項持續優化對機構採用至關重要，ETF託管必須具備穩定可靠的網路與持續交易處理能力，以符合法規及營運標準。

常見問題

Solana歷史發生過哪些重大安全漏洞與攻擊？

Solana曾爆發多起重大安全事件，包括2025年MEXC遭竊5,800萬美元、Upbit遭遇3,600萬美元攻擊。此外，亦發生@solana/web3.js供應鏈攻擊、重入漏洞等智能合約風險，以及針對Phantom用戶的錢包釣魚攻擊。

Solana智能合約最常見的漏洞類型有哪些？

Solana智能合約常見漏洞包括數值溢位、算術精度缺陷、回傳錯誤未處理、初始化權限缺失、Account Owner驗證遺漏、PDA帳戶檢查不足及簽名驗證薄弱等。

Solana執行時漏洞與帳戶驗證問題如何影響網路安全？

Solana於Token-2022零知識證明實作上存在執行時漏洞，可能導致交易驗證失效產生安全隱憂。雖未發生攻擊，約70%驗證節點私下協調修補，反映驗證節點集中化及區塊鏈治理去中心化問題。

相較於以太坊，Solana智能合約有哪些獨特安全風險？

Solana智能合約存在並行執行及帳戶狀態管理的複雜性風險。不同於以太坊的順序處理，Solana的並行執行機制容易引發競態條件。此外，Solana缺乏以太坊原生重入保護，開發者需自行實作安全防護。

如何在Solana上開發安全智能合約？需要特別注意哪些重點？

建議採用Anchor框架，落實帳戶驗證防範型態混淆，進行全面程式碼稽核，驗證所有帳戶輸入，限制跨程式呼叫層級，並在Solana原有防護基礎上加強重入檢查。

Solana網路共識機制與交易處理方式存在哪些安全風險？

Solana共識機制因單一可信資料來源，存在賄賂及定向攻擊風險。預先公開Leader名單雖降低共識負擔，但也提升網路中斷及驗證節點遭受攻擊的風險。