Solana verliest minder door hacks dan concurrerende netwerken: Certora legt uit waarom

Terwijl voorstanders van blockchain een ongelooflijk jaar voor de industrie vieren, genieten kwaadwillende actoren in de ruimte van hun eigen stormloop.

Analisten melden dat 2025 een topjaar was voor vals spel. Alleen al in de eerste helft van het jaar hebben slechte actoren meer dan $1.93B gestolen in cryptogerelateerde misdaden, waarmee het bedrag dat verloren ging aan hacks en oplichting in heel 2024 wordt overschreden.

Maar ondanks ongekende niveaus van kwaadwilligheid in de crypto is Solana, in ieder geval technisch, verbazingwekkend veilig gebleven. Terwijl EVM-netwerken in 2025 meer dan $220M aan hacks te verduren hebben gehad, zijn Solana-gebaseerde apps er grotendeels ongeschonden uitgekomen, met een verlies van ~$18M aan exploits in dit stadium van het jaar. 

Speelde exclusief met Seth Hallem, CEO van Certora, een toonaangevend beveiligingsbedrijf voor blockchain, SolanaFloor dook in de details om deze enorme discrepantie tot op de bodem uit te zoeken en uit te vinden of Solana echt inherent een veiligere ruimte is om te opereren.

Waarom heeft Solana minder last van hacks dan EVM?

Eén blik op DefiLlama’s hacklijst geeft een ongelukkig beeld. Als je een momentopname maakt van een maand aan crypto-exploits, is het duidelijk dat EVM-ketens sterk oververtegenwoordigd zijn, vooral in vergelijking met Solana en de aangrenzende SVM's. Daarnaast is het duidelijk dat EVM-ketens oververtegenwoordigd zijn. Bovendien is het de moeite waard om op te merken dat Solana’s Texture hack in juli één van slechts 3 exploits op het netwerk was, vergeleken met tientallen over EVM-gebaseerde ketens.

Terwijl exchange hacks, zoals de $1,4B ByBit exploit, consistent op de ranglijst staan van grootste en meest schadelijke beveiligingsgebeurtenissen, zijn gebreken in protocollogica verreweg de meest voorkomende kwetsbaarheid die wordt uitgebuit door kwaadwillende actoren.

Hallem schrijft Solana’s dramatisch lagere hack- en exploitvolume toe aan Solana’s inherente programmeerarchitectuur. Gebouwd met Rust, in tegenstelling tot ‘crypto-exclusieve’talen zoals Solidity, is Solana-programmering een toegankelijker en meer beproefde basis Lego-set dan wat EVM-ontwikkelaars moeten gebruiken.

“Solana contracten zijn gebouwd op Rust, wat een veel breder geaccepteerde en vertrouwde programmeertaal is dan Solidity. Elke keer dat er een leercurve is voor een ontwikkelaar, is er een geheel nieuwe set van beveiligingsregels en -praktijken om te leren… Solana is ontwikkeld met concepten als herbruikbaarheid en upgradebaarheid vanaf het begin in gedachten. Hierdoor kunnen ontwikkelaars bouwen bovenop een steeds groeiende bibliotheek van bouwstenen. Hoe meer je functionaliteit en hergebruik kunt centraliseren, hoe meer mogelijkheden je hebt om eenmalig zwaar te investeren in beveiliging ten behoeve van de hele gemeenschap.”

Verder zei Hallem dat het EVM-landschap, met een veel groter netwerk, veel meer vruchtbare grond biedt voor de snode schurken van crypto’s donkere onderbuik. Ethereum’s TVL is ~595% groter dan Solana’s, Layer-2s niet meegerekend. 

“EVM-ketens blijven een groter en winstgevender doelwit - naarmate Solana groeit, zal het aantal aanvallen gericht op Solana-ketens ook groeien.”

Hoewel Hallem er terecht op wijst dat Ethereum’s aanvalsoppervlak aanzienlijk groter is, is Solana’s hackvolume nog steeds verhoudingsgewijs kleiner. Het hackvolume van Ethereum’s 2025 vertegenwoordigt een aandeel van 0,22% van de TVL, vergeleken met 0,12% op Solana.

When You Can’t Verify, Who Can You Trust?

Dankzij haar positie als een kenmerk van crypto’s fundamentele ethos, is zelfbehoud iets van een tweesnijdend zwaard. De onchain-economie mag dan een overvloedige financiële speeltuin zijn met grenzeloze mogelijkheden, maar er is maar één onbetrouwbare link-klik of nietsvermoedende contractinteractie nodig om gebruikers met niets achter te laten.

Crypto voorstanders prediken ad nauseum de “don’t trust, verify” mantra, maar de realiteit is dat de overgrote meerderheid van blockchain gebruikers niet in staat is om onchain, open-source contracten te analyseren. 

“Don’t trust, verify” is misschien nog wel meer overbodig op Solana, waar de meeste applicaties closed-source protocollen gebruiken. Dit brengt gebruikers in een lastig parket: Als je niet kunt verifiëren, hoe kun je dan vertrouwen?

“De gemiddelde eindgebruiker heeft weinig baat bij het analyseren van een Rust-contract, maar ze moeten wel goed opletten wie de vertrouwde auditors in de ruimte zijn, wie elk Solana-programma dat ze willen gebruiken heeft geaudit en wat de auditor te zeggen had over dat programma.”

Dit is waar gerenommeerde beveiligingsbedrijven zoals Certora hun strepen verdienen en zichzelf cementeren als de onbezongen helden van de onchain-economie. Hallem vergelijkt blockchainbeveiligingsauditors met de deskundige advocaten van de web2-wereld, verantwoordelijk voor het abstraheren van de ongelooflijk ingewikkelde details van onchaincontracten, het signaleren van potentiële kwetsbaarheden en het samenwerken met ontwikkelteams om aanvalsvectoren op te lossen.

“Veiligheid on-chain is een triljoen dollar vraag, en het is uiteindelijk de reden waarom bedrijven als Certora bestaan. De beste manier om erover na te denken is door het web3-ethos "code is wet" te nemen en het naar analogie toe te passen. De meesten van ons hebben noch de expertise noch het geduld om elke wet te lezen die door het Amerikaanse Congres wordt aangenomen. In plaats daarvan vertrouwen we op secundaire bronnen die toegankelijker zijn - nieuwsartikelen die wetten uitleggen die voor ons relevant zijn en, in geval van twijfel, advocaten die gespecialiseerd zijn in het interpreteren van de wet. Voor de web3-wereld geldt hetzelfde: accountantskantoren als Certora fungeren als tussenpersonen, werken samen met contractontwikkelaars om de veiligheid te waarborgen, maar fungeren ook als vertrouwensinterpreter voor de eindgebruikersgemeenschap.”

Als een van Solana’s meest betrouwbare auditors, is Certora ontegenzeggelijk een van de favoriete “interpreters of trust” van het netwerk.

Solana’s DeFi giganten, inclusief platformen als Jito en Kamino, die meerdere miljarden aan TVL bezitten, wenden zich routinematig tot Certora voor veiligheidscontroles om hun gebruikers’s veiligheid te garanderen. In augustus 2025 had Certora meer dan $9 miljard aan fondsen op Solana veiliggesteld, een cijfer dat de afgelopen weken waarschijnlijk is gestegen na de recente koersstijging van $SOL&rsquo.

Hackers voorblijven

Blockchainbeveiliging is een delicaat kat-en-muisspel. Hackers ontwikkelen voortdurend nieuwe aanvalsvectoren en -strategieën, wat betekent dat zelfs toepassingen die als ‘veilig&rsquo kunnen worden beschouwd op de hoogte moeten blijven van nieuwe exploit-trends. 

Hallem beweert dat de controleaanpak van Certora’s een tweeledige aanpak volgt. Tussen Certora’s zeer ervaren team van auditors en technologieën zoals formele verificatietools, beschermt de proactieve houding van het bedrijf zowel apps als gebruikers. 

“De kracht van Certora als auditor is gebouwd op twee belangrijke pijlers: mensen en technologie. Mensen komen op de eerste plaats, en we zijn er trots op een getalenteerde groep van web3 beveiligingsexperts samen te stellen en hen een omgeving te bieden die hen aanmoedigt hun beste werk te doen. Om onze teams in de beste positie te plaatsen om te slagen, wijzen we altijd minstens twee auditors aan een project toe en innoveren we voortdurend in ons auditproces."

Naast het toewijzen van meerdere auditors aan elk project, maakt Certora ook gebruik van krachtige beveiligingstools om kwetsbaarheden te identificeren. 

“Technologie is de tweede pijler van wat we doen - we bouwen innovatieve, toonaangevende tools die we gebruiken om kwetsbaarheden te vinden in slimme contracten en, in toenemende mate, om onze auditors te leiden naar de verdachte delen van een contract die nader onderzoek vereisen.”

Formele verificatiestacks zoals het bedrijf’s eigen Certora Prover vergelijken bytecode van slimme contracten met het verwachte gedrag van een code’s, waarbij contracttoestanden en paden worden geanalyseerd om potentiële aanvalsvectoren te markeren.

“Aanvallers innoveren ook, en om te proberen ons voor te blijven volgen we twee verschillende paden. De eerste is ervoor zorgen dat we altijd op de hoogte zijn van de nieuwste aanvalsvectoren en hoe die vectoren onze klanten kunnen beïnvloeden, maar dat is uiteindelijk een reactief perspectief. De tweede is het gebruik van formele verificatie, de kerntechnologie in het hart van Certora, om wiskundig de afwezigheid te garanderen van hele categorieën van fouten die een contract kwetsbaar kunnen maken.”

Formele verificatie wordt alom gepromoot door denkers op het gebied van beveiliging binnen Solana, waaronder Kamino-oprichter Marius Ciubotariu, en natuurlijk Solana Labs-oprichter Anatoly Yakovenko.

Auditeursaansprakelijkheid

Eén van de grootste misvattingen in de cryptoruimte is het idee dat gecontroleerde protocollen ondoordringbaar zijn voor exploits. De ongemakkelijke realiteit is dat blockchain beveiligingsaudits geenszins een garantie zijn dat bepaalde protocollen en toepassingen veilig zijn om te gebruiken. 

In plaats daarvan moeten crypto-natives audits zien als een oprechte, eerlijke inspanning van experts om mensen zo goed mogelijk te beschermen. Hallem is van mening dat als een geauditeerd protocol wordt gehackt, de verantwoordelijkheid en aansprakelijkheid van de exploit uiteindelijk bij de applicatie ligt, niet bij de auditor.

“Auditors spelen een sleutelrol in het creëren van vertrouwen in het web3 ecosysteem, en in die positie is de reputatie van een auditkantoor van het grootste belang. Net als bij een belastingcontroleur denk ik dat de aansprakelijkheid van een controleur niet gaat over het al dan niet gehackt zijn van een protocol, maar over de vraag of de controleur eerlijk is of niet. Veel bedrijven hebben met succes belastingontduikingen en andere illegale manoeuvres verborgen voor hun belastingcontroleurs, en zolang de controleur te goeder trouw heeft geprobeerd om een grondige en volledige controle uit te voeren, ligt de aansprakelijkheid voor die keuzes bij het bedrijf, niet bij de controleur. In de web3-ruimte voelen we een soortgelijke verplichting om de code van onze klanten grondig te analyseren en een eerlijk verslag van onze bevindingen te maken. We zijn echter nog steeds slechts adviseurs van onze klanten - we hebben niet de volledige controle over hun beslissingen over welke software precies wordt uitgebracht en hoe - en gezien de aard van wat we doen, is ons werk altijd onvolledig - aanvallers innoveren en kwetsbaarheden zijn in toenemende mate afhankelijk van interacties die verder gaan dan de code die we controleren.”

Web2 vergelijkingen daargelaten, Hallem maakt een pertinente opmerking over de rol van blockchain auditors in een industrie die graag de schuldvraag speelt. Ondanks alle vooruitgang die wordt geboekt in de blockchainindustrie, moeten deelnemers nog steeds kritisch, waakzaam en objectief blijven, zonder blind te vertrouwen op toepassingen en beveiligingsbedrijven.

“Het echte antwoord op web3 beveiliging ligt veel verder dan de audit als een single point of failure - de industrie heeft een bredere, meer omvattende oplossing nodig voor de beveiligingsuitdagingen in web3, en als bedrijf streeft Certora ernaar om dat bredere plaatje te bieden. Kwetsbaarheden in slimme contracten zullen niet verdwijnen, maar we kunnen leren van andere industrieën waar een combinatie van technologieën en een "verdediging in de diepte" mentaliteit een gelaagde aanpak heeft opgeleverd waardoor we ons veilig voelen in onze online interacties. Hetzelfde kan en moet gelden voor web3 naarmate de industrie volwassener wordt.”

Crypto zal waarschijnlijk, althans voor de nabije toekomst, het wilde westen van de financiële wereld blijven. Zolang de onchain-economie vruchtbare grond blijft bieden voor exploits en geld zonder toestemming, zal de ruimte geplaagd blijven worden door snode en extractieve spelers. 

Maar net zoals slechte actoren zullen blijven bestaan, dienen goede actoren als tegenwicht. Beveiligingsbedrijven zoals Certora, hoewel nog steeds geen garantie voor absolute veiligheid, bieden misschien wel de beste verdediging tegen vals spel. 

Lees meer over SolanaFloor

Waarom heeft Star Atlas zijn eigen Layer-1 nodig?

Hier’s alles wat je misschien’hebt gemist van de Star Atlas-zomer

SolanaFloor zit samen met Michael Wagner, CEO van Star Atlas