Solana Tambal Bug Token-22, Komunitas Soroti Sentralisasi dan Transparansi Jaringan

Dalam ekosistem blockchain yang diklaim sebagai “terdesentralisasi,” berita tentang kerentanan keamanan sejatinya bukan hal baru. Namun ketika platform sebesar Solana terkena celah zero-day yang memungkinkan pencetakan token tanpa batas dan bahkan pencurian dari dompet pengguna, maka ini bukan sekadar gangguan teknis ini ujian eksistensial.

Meski tim pengembang dan validator Solana berhasil menambal kerentanan ini secara cepat tanpa adanya eksploitasi tercatat, cara penanganannya justru mengangkat isu yang jauh lebih dalam: Apakah Solana benar-benar terdesentralisasi seperti yang diklaim?

Bug Zero-Day Token-22 Lubang Tak Kasat Mata di Jantung Privasi Solana

Celah keamanan ini ditemukan pada 16 April 2025, memengaruhi dua program kunci:

Masalahnya? Dalam proses Fiat-Shamir Transformation, elemen aljabar penting ternyata tidak dimasukkan ke dalam hash, membuka peluang bagi aktor jahat untuk membuat bukti palsu yang tetap lolos verifikasi.

Jika sempat dieksploitasi, pelaku bisa saja mencetak token Token-22 secara ilegal dan menarik dana dari dompet pengguna tanpa terdeteksi.

Namun, dua patch cepat segera dirilis, dan mayoritas validator Solana menerapkannya dalam waktu dua hari. Dana pengguna dilaporkan tetap aman.

Penyelamatan Kilat, Kritik Mendalam

Cepatnya respon memang layak diapresiasi. Tim seperti Anza, Firedancer, dan Jito memimpin perbaikan, dengan dukungan dari pihak ketiga seperti Neodyme dan OtterSec. Namun proses internal yang sangat tertutup ini menuai kritik keras dari komunitas kripto yang mengutamakan transparansi dan desentralisasi.

Salah satu kontributor dari Curve Finance bahkan mempertanyakan:

“Mengapa ada satu pihak yang memiliki akses ke seluruh daftar validator dan detail kontaknya? Apa lagi yang sedang dibicarakan di saluran komunikasi tertutup itu?”

Pertanyaan ini mengarah ke isu sentral: Apakah koordinasi seperti ini menunjukkan bahwa jaringan Solana sesungguhnya tersentralisasi?

Anatoly Yakovenko Membalas Kritik, Tapi Justru Menyulut Perdebatan Lain

CEO Solana Labs, Anatoly Yakovenko, tidak menolak klaim tersebut secara langsung. Ia justru menyoroti bahwa Ethereum pun memiliki tingkat konsentrasi serupa di antara validator, dengan lebih dari 70% dikendalikan oleh bursa besar atau operator staking seperti Lido, Binance, Coinbase, dan Kraken.

Komentar ini mengundang balasan tajam dari Ryan Berckmans, anggota komunitas Ethereum, yang menegaskan bahwa Ethereum memiliki keragaman klien yang cukup kuat.

“Solana hanya punya satu klien siap produksi: Agave. Itu artinya, bug di klien = bug di protokol. Kliennya adalah protokolnya.”

Menuju “Firedancer” Harapan Desentralisasi Solana?

Sebagai upaya memperkuat infrastruktur, Solana saat ini sedang mempersiapkan peluncuran Firedancer, klien independen baru yang dikembangkan oleh Jump Crypto dan diharapkan siap dalam beberapa bulan ke depan.

Firedancer diyakini akan meningkatkan resiliensi dan uptime jaringan, serta menurunkan risiko single-point-of-failure.

Namun, menurut banyak pengamat, Solana butuh setidaknya tiga klien agar bisa dianggap benar-benar terdesentralisasi di level perangkat lunak.

Desentralisasi Itu Bukan Branding, Tapi Struktur

Kasus ini menjadi pengingat bahwa dalam dunia blockchain, desentralisasi bukan hanya soal jumlah node atau jumlah token holder, tapi juga menyangkut distribusi kekuasaan di balik layar siapa yang bisa mengakses, memutuskan, dan memperbaiki saat krisis datang?

Solana, dengan semua inovasinya di ranah throughput dan biaya rendah, masih berhadapan dengan bayang-bayang sentralisasi yang belum bisa ditepis sepenuhnya.

Antara Kecepatan dan Kepercayaan

Solana membuktikan bahwa ia bisa bergerak cepat saat keadaan genting tapi kecepatan saja tidak cukup. Ketika pengguna menyimpan aset bernilai tinggi di jaringan ini, kepercayaan pada struktur governance jadi sama pentingnya dengan performa teknis.

Jika tidak mampu membuktikan transparansi dan keragaman klien ke depannya, Solana bisa saja tetap menjadi platform cepat, tapi tanpa legitimasi penuh dari komunitas Web3 yang lebih luas.