Die Solana Foundation stellt wenige Tage nach dem Drift-Exploit im Wert von 270 Millionen US-Dollar eine Sicherheitsüberarbeitung vor
Die Solana Foundation kündigte am Montag eine Reihe von Sicherheitsinitiativen an, nur fünf Tage nachdem die dezentralisierte Finanzplattform (DeFi) Drift Protocol einen 270-Millionen-Dollar-Exploit erlitten hatte, der von einer mit dem nordkoreanischen Staat verbundenen Gruppe nach einer sechsmonatigen Social-Engineering-Kampagne durchgeführt wurde.
Das Herzstück ist Stride, ein strukturiertes Bewertungsprogramm unter der Leitung von Asymmetric Research, das Solana DeFi-Protokolle anhand von acht Sicherheitssäulen bewertet und seine Ergebnisse öffentlich veröffentlicht. Die Stiftung führte außerdem das Solana Incident Response Network (SIRN) ein, eine auf Mitgliedschaft basierende Gruppe von Sicherheitsfirmen und Forschern, die sich auf Krisenreaktionen in Echtzeit konzentriert.
Die Initiativen befassen sich mit einem Teil des durch Drift aufgedeckten Problems, nicht jedoch mit den Mechanismen, die den Verlust tatsächlich verursacht haben. Die Smart Contracts von Drift wurden nicht kompromittiert und der Code hat die Prüfungen bestanden. Die Schwachstelle war menschlich: Die Angreifer verbrachten sechs Monate damit, Beziehungen zu Drift-Mitwirkenden aufzubauen und ihre Geräte über ein Schadcode-Repository und eine gefälschte TestFlight-App zu kompromittieren.
Im Rahmen von Stride erhalten Protokolle mit einem Total Value Lock (TVL) von mehr als 10 Millionen US-Dollar, die die Bewertung bestehen, fortlaufende Betriebssicherheit und aktive Bedrohungsüberwachung, finanziert durch Zuschüsse der Solana Foundation, wobei die Abdeckung auf das Risikoprofil jedes Protokolls abgestimmt ist.
Für Protokolle mit einem TVL von mehr als 100 Millionen US-Dollar wird die Stiftung auch die formale Verifizierung finanzieren, eine mathematische Methode, die jeden möglichen Ausführungspfad in einem Smart Contract überprüft, um die Korrektheit zu gewährleisten.
Zu den Gründungsmitgliedern gehören neben Asymmetric Research auch OtterSec, Neodyme, Squads und ZeroShadow. Das Netzwerk steht allen Solana-Protokollen zur Verfügung, wird jedoch von TVL priorisiert.
Die formelle Überprüfung von Stride hätte den nordkoreanischen Angriff jedoch nicht aufgedeckt, der die kompromittierten Geräte nutzte, um Multisig-Genehmigungen zu erhalten, die dann in dauerhafte Nonce-Transaktionen eingebunden und Wochen später ausgeführt wurden.
Auch eine Überwachung der On-Chain-Aktivitäten rund um die Uhr wäre nicht möglich, da die Transaktionen von Natur aus gültig und von legitimen Verwaltungsmaßnahmen nicht zu unterscheiden waren, bis sie zum Leeren der Tresore verwendet wurden. Der Angriff nutzte die Lücke zwischen der Korrektheit in der Kette und dem menschlichen Vertrauen außerhalb der Kette aus, eine Lücke, die kein intelligentes Vertragsprüfungs- oder Überwachungstool schließen kann.
SIRN hätte jedoch bei der Reaktion helfen können. ZachXBT, ein On-Chain-Sicherheitsexperte, kritisierte den Stablecoin-Emittenten Circle Internet (CRCL), weil er es sechs Stunden nach Beginn des Angriffs nicht geschafft hatte, mehr als 230 Millionen US-Dollar seines gestohlenen, an den Dollar gekoppelten USDC einzufrieren.
Ein spezielles Netzwerk zur Reaktion auf Vorfälle mit etablierten Beziehungen zu Brückenbetreibern, Börsen und Stablecoin-Emittenten hätte die Reaktionszeit möglicherweise verkürzen können. Ob es schnell genug gewesen wäre, um die Überbrückung und Verschleierung des Wurmlochs durch Tornado Cash zu verhindern, ist eine offene Frage.
Die Stiftung stellte sorgfältig fest, dass die Programme „die zugrunde liegende Verantwortung nicht von den Protokollen selbst abwälzen“, eine Aussage, die anders lautet, nachdem Drifts Obduktion ergab, dass einzelne Geräte von Mitwirkenden den Einstiegspunkt für einen nationalstaatlichen Angriff darstellten.
Solana hostet bereits mehrere kostenlose Sicherheitstools für Entwickler, darunter Hypernative zur Bedrohungserkennung, Range Security zur Echtzeitüberwachung und Neodymes Riverguard zur Angriffssimulation.