Фонд Соланы объявляет о пересмотре системы безопасности через несколько дней после эксплойта Drift стоимостью 270 миллионов долларов
Фонд Соланы объявил о ряде инициатив по обеспечению безопасности в понедельник, всего через пять дней после того, как платформа децентрализованного финансирования (DeFi) Drift Protocol подверглась эксплойту стоимостью 270 миллионов долларов, осуществленному группой, связанной с государством Северной Кореи, после шестимесячной кампании социальной инженерии.
Центральным элементом является Stride, программа структурированной оценки, возглавляемая Asymmetric Research, которая оценит протоколы Solana DeFi на соответствие восьми принципам безопасности и опубликует свои результаты публично. Фонд также представил Сеть реагирования на инциденты Солана (SIRN), основанную на членстве группу охранных фирм и исследователей, занимающихся реагированием на кризисы в режиме реального времени.
Эти инициативы направлены на часть проблемы, выявленной Drift, но не на механику, которая на самом деле вызвала потерю. Смарт-контракты Drift не были скомпрометированы, а его код прошел проверку. Уязвимость была человеческой: злоумышленники потратили шесть месяцев на выстраивание отношений с участниками Drift и скомпрометировали их устройства через хранилище вредоносного кода и поддельное приложение TestFlight.
В рамках Stride протоколы с общей заблокированной стоимостью (TVL) более 10 миллионов долларов, прошедшие оценку, получат постоянную операционную безопасность и активный мониторинг угроз, финансируемый за счет грантов Solana Foundation, с охватом, откалиброванным в соответствии с профилем риска каждого протокола.
Для протоколов с TVL стоимостью более 100 миллионов долларов фонд также будет финансировать формальную проверку — математический метод, который проверяет все возможные пути выполнения в смарт-контракте, чтобы гарантировать правильность.
Помимо Asymmetric Research, в число основателей входят OtterSec, Neodyme, Squads и ZeroShadow. Сеть доступна для всех протоколов Solana, но приоритет отдается TVL.
Однако официальная проверка Страйда не позволила бы выявить атаку Северной Кореи, которая использовала взломанные устройства для получения одобрений с мультиподписью, которые затем были заблокированы в устойчивых одноразовых транзакциях и выполнены несколько недель спустя.
Не будет работать и круглосуточный мониторинг активности в сети, поскольку транзакции были действительны по замыслу и неотличимы от законных административных действий до тех пор, пока они не были использованы для опустошения хранилищ. Атака использовала разрыв между правильностью ончейна и человеческим доверием вне блокчейна, разрыв, который не может покрыть ни один инструмент аудита или мониторинга смарт-контрактов.
Однако SIRN могла бы помочь с ответом. ZachXBT, эксперт по ончейн-безопасности, раскритиковал эмитента стейблкоинов Circle Internet (CRCL) за то, что он не смог заморозить более 230 миллионов долларов США в украденных долларах США, привязанных к доллару, в течение шести часов после начала атаки.
Специальная сеть реагирования на инциденты с налаженными связями с операторами мостов, биржами и эмитентами стейблкоинов могла бы сократить время реагирования. Было ли это достаточно быстро, чтобы предотвратить перекрытие и запутывание Червоточины через Tornado Cash, остается открытым вопросом.
Фонд осторожно отметил, что программы «не переносят основную ответственность с самих протоколов». Эта строка читается по-другому после того, как вскрытие Дрифта показало, что отдельные устройства участников были отправной точкой для атаки национального государства.
В Solana уже есть несколько бесплатных инструментов безопасности для строителей, в том числе Hypernative для обнаружения угроз, Range Security для мониторинга в реальном времени и Riverguard от Neodyme для моделирования атак.