سولانہ فاؤنڈیشن نے 270 ملین ڈالر کے ڈرفٹ ایکسپلائیٹ کے چند دنوں بعد سیکورٹی کی تبدیلی کی نقاب کشائی کی۔

سولانا فاؤنڈیشن نے پیر کو حفاظتی اقدامات کے ایک مجموعہ کا اعلان کیا، صرف پانچ دن بعد جب وکندریقرت مالیات (DeFi) پلیٹ فارم ڈرفٹ پروٹوکول کو 6 ماہ کی سوشل انجینئرنگ مہم کے بعد شمالی کوریا کے ریاست سے وابستہ گروپ کے ذریعے $270 ملین کے استحصال کا سامنا کرنا پڑا۔

اس کا مرکز سٹرائیڈ ہے، ایک منظم تشخیصی پروگرام جس کی قیادت اسیمیٹرک ریسرچ کرتی ہے جو سولانا ڈی فائی پروٹوکول کا آٹھ حفاظتی ستونوں کے خلاف جائزہ لے گی اور اس کے نتائج کو عوامی طور پر شائع کرے گی۔ فاؤنڈیشن نے سولانا انسیڈنٹ ریسپانس نیٹ ورک (SIRN) بھی متعارف کرایا، جو کہ سیکیورٹی فرموں اور محققین کا ایک رکنیت پر مبنی گروپ ہے جو حقیقی وقت کے بحران کے ردعمل پر مرکوز ہے۔

یہ اقدامات ڈرفٹ کے ذریعہ سامنے آنے والے مسئلے کے ایک حصے کو حل کرتے ہیں، لیکن وہ میکانکس نہیں جو حقیقت میں نقصان کا باعث بنے۔ ڈرفٹ کے سمارٹ معاہدوں سے سمجھوتہ نہیں کیا گیا، اور اس کے کوڈ نے آڈٹ پاس کیا۔ خطرہ انسانی تھا: حملہ آوروں نے Drift تعاون کنندگان کے ساتھ تعلقات استوار کرنے میں چھ ماہ گزارے اور ایک بدنیتی پر مبنی کوڈ ریپوزٹری اور ایک جعلی TestFlight ایپ کے ذریعے اپنے آلات سے سمجھوتہ کیا۔

اسٹرائیڈ کے تحت، کل ویلیو لاکڈ (TVL) میں $10 ملین سے زیادہ کے پروٹوکول جو تشخیص کو پاس کرتے ہیں، وہ جاری آپریشنل سیکیورٹی اور فعال خطرے کی نگرانی حاصل کریں گے جو سولانا فاؤنڈیشن گرانٹس کے ذریعے مالی اعانت فراہم کرتے ہیں، جس کی کوریج ہر پروٹوکول کے رسک پروفائل پر کیلیبریٹ ہوتی ہے۔

TVL میں $100 ملین سے زیادہ کے پروٹوکولز کے لیے، فاؤنڈیشن رسمی تصدیق کے لیے فنڈ بھی فراہم کرے گی، یہ ایک ریاضیاتی طریقہ ہے جو درستگی کی ضمانت کے لیے سمارٹ کنٹریکٹ میں عمل درآمد کے ہر ممکنہ راستے کو چیک کرتا ہے۔

غیر متناسب تحقیق کے علاوہ، بانی اراکین میں OtterSec، Neodyme، Squads، اور Zero Shadow شامل ہیں۔ یہ نیٹ ورک تمام سولانا پروٹوکولز کے لیے دستیاب ہے لیکن TVL کی طرف سے ترجیح دی گئی ہے۔

تاہم، اسٹرائیڈ کی باضابطہ توثیق سے شمالی کوریا کے حملے کو پکڑا نہیں جا سکتا تھا، جس نے ملٹی سیگ منظوری حاصل کرنے کے لیے سمجھوتہ کرنے والے آلات کا استعمال کیا تھا جو پھر پائیدار غیر لین دین میں بند کر دیے گئے تھے اور ہفتوں بعد اس پر عمل درآمد کر دیا گیا تھا۔

نہ ہی آنچین کی سرگرمی کی 24/7 نگرانی کرے گا، کیونکہ لین دین ڈیزائن کے لحاظ سے درست تھے اور جائز انتظامی کارروائیوں سے الگ نہیں کیے جا سکتے تھے جب تک کہ وہ والٹس کو نکالنے کے لیے استعمال نہ ہوں۔ اس حملے نے آنچین کی درستگی اور آف چین ہیومن ٹرسٹ کے درمیان فرق کا فائدہ اٹھایا، ایک ایسا خلا جس کو پورا کرنے کے لیے کوئی سمارٹ کنٹریکٹ آڈٹ یا مانیٹرنگ ٹول نہیں بنایا گیا ہے۔

SIRN، تاہم، جواب میں مدد کر سکتا تھا۔ ZachXBT، ایک آنچین سیکیورٹی ماہر، نے اسٹیبل کوائن جاری کرنے والے سرکل انٹرنیٹ (CRCL) پر حملہ شروع ہونے کے بعد چھ گھنٹے کی کھڑکی کے دوران اپنے چوری شدہ ڈالر-پیگڈ USDC کے $230 ملین سے زیادہ کو منجمد کرنے میں ناکامی پر تنقید کی۔

برج آپریٹرز، ایکسچینجز اور سٹیبل کوائن جاری کرنے والوں کے ساتھ قائم تعلقات کے ساتھ ایک وقف شدہ واقعہ رسپانس نیٹ ورک نے جوابی وقت کو کم کر دیا ہو گا۔ آیا یہ ٹورنیڈو کیش کے ذریعے ورم ہول برجنگ اور مبہم ہونے کو روکنے کے لیے کافی تیز ہوتا یہ ایک کھلا سوال ہے۔

فاؤنڈیشن یہ نوٹ کرنے میں محتاط تھی کہ پروگرام "بنیادی ذمہ داری کو خود پروٹوکول سے دور منتقل نہیں کرتے ہیں"، ایک لائن جو ڈرفٹ کے پوسٹ مارٹم کے بعد مختلف انداز میں پڑھتی ہے کہ یہ انکشاف ہوا کہ انفرادی تعاون کرنے والے آلات قومی ریاست کے حملے کے لیے داخلے کا مقام تھے۔

سولانا پہلے سے ہی بلڈرز کے لیے کئی مفت حفاظتی ٹولز کی میزبانی کرتا ہے، بشمول خطرے کا پتہ لگانے کے لیے Hypernative، ریئل ٹائم مانیٹرنگ کے لیے رینج سیکیورٹی، اور اٹیک سمولیشن کے لیے Neodyme's Riverguard۔