Cryptonews

تكشف مؤسسة Solana عن إصلاح أمني شامل بعد أيام من استغلال Drift بقيمة 270 مليون دولار

المصدر
cryptonewstrend.com
نُشر في
تكشف مؤسسة Solana عن إصلاح أمني شامل بعد أيام من استغلال Drift بقيمة 270 مليون دولار

أعلنت مؤسسة Solana عن مجموعة من المبادرات الأمنية يوم الاثنين، بعد خمسة أيام فقط من تعرض منصة Drift Protocol للتمويل اللامركزي (DeFi) لاستغلال بقيمة 270 مليون دولار نفذته مجموعة تابعة للدولة في كوريا الشمالية بعد حملة هندسة اجتماعية استمرت ستة أشهر.

المحور الرئيسي هو Stride، وهو برنامج تقييم منظم بقيادة Ametric Research والذي سيقيم بروتوكولات Solana DeFi مقابل ثمانية ركائز أمنية وينشر نتائجه علنًا. كما قدمت المؤسسة أيضًا شبكة سولانا للاستجابة للحوادث (SIRN)، وهي مجموعة قائمة على العضوية تضم شركات أمنية وباحثين تركز على الاستجابة للأزمات في الوقت الفعلي.

تعالج المبادرات جزءًا من المشكلة التي كشفها Drift، ولكن ليس الآليات التي تسببت فعليًا في الخسارة. لم يتم المساس بعقود Drift الذكية، واجتازت التعليمات البرمجية الخاصة بها عمليات التدقيق. كانت الثغرة بشرية: فقد أمضى المهاجمون ستة أشهر في بناء علاقات مع المساهمين في Drift وقاموا باختراق أجهزتهم من خلال مستودع أكواد برمجية ضارة وتطبيق TestFlight مزيف.

وبموجب Stride، ستتلقى البروتوكولات التي تبلغ قيمتها الإجمالية المقفلة (TVL) أكثر من 10 ملايين دولار والتي تجتاز التقييم أمانًا تشغيليًا مستمرًا ومراقبة نشطة للتهديدات بتمويل من منح مؤسسة Solana، مع معايرة التغطية وفقًا لملف تعريف مخاطر كل بروتوكول.

بالنسبة للبروتوكولات التي تزيد قيمتها عن 100 مليون دولار من قيمة TVL، ستقوم المؤسسة أيضًا بتمويل التحقق الرسمي، وهي طريقة رياضية تتحقق من كل مسار تنفيذ محتمل في العقد الذكي لضمان صحته.

بالإضافة إلى Ametric Research، يشمل الأعضاء المؤسسون OtterSec وNeodyme وSquads وZeroShadow. الشبكة متاحة لجميع بروتوكولات Solana ولكن يتم منحها الأولوية بواسطة TVL.

ومع ذلك، فإن التحقق الرسمي الذي أجرته Stride لم يكن ليكشف عن الهجوم الكوري الشمالي، الذي استخدم الأجهزة المخترقة للحصول على موافقات multisig التي تم تأمينها بعد ذلك في معاملات غير دائمة وتم تنفيذها بعد أسابيع.

ولا يمكن مراقبة نشاط onchain على مدار الساعة طوال أيام الأسبوع، لأن المعاملات كانت صالحة حسب التصميم ولا يمكن تمييزها عن الإجراءات الإدارية المشروعة حتى يتم استخدامها لاستنزاف الخزائن. استغل الهجوم الفجوة بين صحة onchain وثقة الإنسان خارج السلسلة، وهي فجوة لم يتم إنشاء أداة تدقيق أو مراقبة للعقود الذكية لتغطيتها.

ومع ذلك، كان من الممكن أن تساعد SIRN في الاستجابة. انتقد ZachXBT، خبير أمن onchain، جهة إصدار العملة المستقرة Circle Internet (CRCL) لفشلها في تجميد أكثر من 230 مليون دولار من عملة USDC المسروقة المرتبطة بالدولار خلال فترة ست ساعات بعد بدء الهجوم.

ربما تكون شبكة الاستجابة للحوادث المخصصة ذات العلاقات الراسخة مع مشغلي الجسور والبورصات ومصدري العملات المستقرة قد أدت إلى تقصير وقت الاستجابة. ما إذا كان سيكون بالسرعة الكافية لمنع سد الثقب الدودي والتعتيم من خلال Tornado Cash هو سؤال مفتوح.

كانت المؤسسة حريصة على الإشارة إلى أن البرامج "لا تنقل المسؤولية الأساسية بعيدًا عن البروتوكولات نفسها"، وهو سطر يُقرأ بشكل مختلف بعد أن كشف تشريح دريفت أن الأجهزة المساهمة الفردية كانت نقطة الدخول لهجوم الدولة القومية.

تستضيف Solana بالفعل العديد من أدوات الأمان المجانية للمنشئين، بما في ذلك Hypernative للكشف عن التهديدات، وRange Security للمراقبة في الوقت الفعلي، وNeodyme’s Riverguard لمحاكاة الهجوم.