Hôm thứ Hai, Quỹ Solana đã công bố một loạt các sáng kiến an ninh, chỉ năm ngày sau khi nền tảng tài chính phi tập trung (DeFi ) Drift Protocol bị một nhóm liên kết với nhà nước Triều Tiên tấn công gây thiệt hại 270 triệu đô la sau chiến dịch lừa đảo xã hội kéo dài sáu tháng.
Điểm nhấn chính là Stride, một chương trình đánh giá có cấu trúc do Asymmetric Research dẫn đầu, sẽ đánh giá các giao thức DeFi Solana dựa trên tám trụ cột bảo mật và công bố công khai kết quả. Tổ chức này cũng giới thiệu Mạng lưới ứng phó sự cố Solana (SIRN), một nhóm gồm các công ty bảo mật và nhà nghiên cứu tập trung vào ứng phó khủng hoảng trong thời gian thực, hoạt động dựa trên tư cách thành viên.
Các sáng kiến này giải quyết một phần vấn đề mà Drift đã chỉ ra, nhưng không giải quyết được cơ chế thực sự gây ra thiệt hại. Hợp đồng thông minh của Drift không bị xâm phạm và mã nguồn của nó đã vượt qua các cuộc kiểm tra. Lỗ hổng nằm ở con người: Những kẻ tấn công đã dành sáu tháng để xây dựng mối quan hệ với những người đóng góp cho Drift và xâm nhập vào thiết bị của họ thông qua một kho mã độc hại và một ứng dụng TestFlight giả mạo.
Theo chương trình Stride, các giao thức có Tổng giá trị bị khóa (TVL) (Tổng giá trị khóa (TVL)) trên 10 triệu đô la Mỹ vượt qua quá trình đánh giá sẽ nhận được sự hỗ trợ về an ninh vận hành liên tục và giám sát mối đe dọa chủ động, được tài trợ bởi các khoản tài trợ của Quỹ Solana , với phạm vi bảo vệ được điều chỉnh phù hợp với hồ sơ rủi ro của từng giao thức.
Đối với các giao thức có tổng giá trị lỗ hổng (Tổng giá trị khóa (TVL) trên 100 triệu đô la, quỹ cũng sẽ tài trợ cho Xác minh chính thức, một phương pháp toán học kiểm tra mọi đường dẫn thực thi có thể có trong hợp đồng thông minh để đảm bảo tính chính xác.
Ngoài Asymmetric Research, các thành viên sáng lập còn bao gồm OtterSec, Neodyme, Squads và ZeroShadow. Mạng lưới này khả dụng cho tất cả các giao thức Solana nhưng được ưu tiên theo Tổng giá trị khóa (TVL) ( Tổng giá trị lỗ hổng bảo mật).
Tuy nhiên, Xác minh chính thức của Stride sẽ không phát hiện ra cuộc tấn công của Triều Tiên, vốn đã sử dụng các thiết bị bị xâm nhập để lấy được các phê duyệt đa chữ ký, sau đó được khóa vào các giao dịch Nonce bền vững và được thực hiện vài tuần sau đó.
Việc giám sát hoạt động trên chuỗi 24/7 cũng không hiệu quả, bởi vì các giao dịch được thiết kế để hợp lệ và không thể phân biệt được với các hành động quản trị hợp pháp cho đến khi chúng được sử dụng để rút tiền từ các kho lưu trữ. Cuộc tấn công đã khai thác lỗ hổng giữa tính chính xác trên chuỗi và sự tin tưởng của con người ngoài chuỗi, một lỗ hổng mà không có công cụ Kiểm định hợp đồng thông minh được thiết kế để khắc phục.
Tuy nhiên, SIRN lẽ ra có thể hỗ trợ trong việc ứng phó. ZachXBT, một chuyên gia về bảo mật chuỗi khối, đã chỉ trích nhà phát hành stablecoin Circle Internet (CRCL) vì đã không đóng băng hơn 230 triệu USDC bị đánh cắp trong khoảng thời gian sáu giờ sau khi cuộc tấn công bắt đầu.
Một mạng lưới ứng phó sự cố chuyên dụng với các mối quan hệ đã được thiết lập với các nhà điều hành cầu nối, sàn giao dịch và nhà phát hành stablecoin có thể đã rút ngắn thời gian phản hồi. Liệu điều đó có đủ nhanh để ngăn chặn việc bắc cầu và che giấu thông tin qua Tornado Cash hay không vẫn là một câu hỏi bỏ ngỏ.
Tổ chức này đã cẩn thận lưu ý rằng các chương trình "không chuyển giao trách nhiệm cơ bản khỏi chính các giao thức", một câu nói mang ý nghĩa khác sau khi báo cáo điều tra của Drift tiết lộ rằng các thiết bị của các cá nhân đóng góp là điểm xâm nhập cho một cuộc tấn công của nhà nước.
Solana hiện đã cung cấp một số công cụ bảo mật miễn phí cho các nhà phát triển, bao gồm Hypernative để phát hiện mối đe dọa, Range Security để giám sát thời gian thực và Riverguard của Neodyme để mô phỏng tấn công.
