Solana 基金会在价值 2.7 亿美元的 Drift 漏洞利用几天后推出安全检修

Solana 基金会于周一宣布了一系列安全举措，就在五天前，去中心化金融 (DeFi) 平台 Drift Protocol 遭受朝鲜国家附属组织在为期六个月的社会工程活动后遭受价值 2.7 亿美元的攻击。

其中的核心是 Stride，这是一个由 Ametry Research 领导的结构化评估项目，将根据八个安全支柱评估 Solana DeFi 协议，并公开发布其调查结果。该基金会还推出了 Solana 事件响应网络 (SIRN)，这是一个由安全公司和研究人员组成的会员制团体，专注于实时危机响应。

这些举措解决了《漂移》暴露的部分问题，但没有解决实际造成损失的机制。 Drift 的智能合约没有受到损害，其代码也通过了审计。该漏洞是人为的：攻击者花了六个月的时间与 Drift 贡献者建立关系，并通过恶意代码存储库和伪造的 TestFlight 应用程序破坏了他们的设备。

根据 Stride 的规定，通过评估的总锁定价值 (TVL) 超过 1000 万美元的协议将获得由 Solana 基金会拨款资助的持续运营安全和主动威胁监控，并根据每个协议的风险状况调整覆盖范围。

对于 TVL 超过 1 亿美元的协议，基金会还将资助形式验证，这是一种数学方法，用于检查智能合约中每个可能的执行路径以保证正确性。

除了 Asymmetry Research 之外，创始成员还包括 OtterSec、Neodyme、Squads 和 ZeroShadow。该网络适用于所有 Solana 协议，但按 TVL 确定优先级。

然而，Stride 的正式验证不会发现朝鲜的攻击，朝鲜利用受损的设备获得多重签名批准，然后将其锁定在持久的随机数交易中，并在几周后执行。

对链上活动的 24/7 监控也不会，因为交易在设计上是有效的，并且在被用来耗尽金库之前与合法的管理行为没有区别。这次攻击利用了链上正确性和链下人类信任之间的差距，而智能合约审计或监控工具无法弥补这一差距。

然而，SIRN 可以帮助做出回应。链上安全专家 ZachXBT 批评稳定币发行商 Circle Internet (CRCL) 未能在攻击开始后的 6 小时内冻结其被盗的超过 2.3 亿美元的与美元挂钩的 USDC。

与运营商、交易所和稳定币发行人建立联系的专用事件响应网络可能会缩短响应时间。它是否足够快以防止通过龙卷风现金进行虫洞桥接和混淆是一个悬而未决的问题。

该基金会谨慎地指出，这些程序“不会将根本责任从协议本身转移出去”，在 Drift 事后分析显示个人贡献者设备是民族国家攻击的切入点后，这句话的读法有所不同。

Solana 已经为构建者提供了多种免费安全工具，包括用于威胁检测的 Hypernative、用于实时监控的 Range Security 以及用于模拟攻击的 Neodyme Riverguard。