Solana基金會週一宣佈了一系列安全舉措,而就在五天前,去中心化金融 (DeFi) 平臺 Drift Protocol 遭受了朝鮮國家關聯組織長達六個月的社會工程攻擊,導致其損失高達 2.7 億美元。
核心項目是Stride,這是一個由Asymmetric Research主導的結構化評估項目,它將根據八大安全支柱對Solana DeFi協議進行評估,並公開評估結果。該基金會還推出了Solana事件響應網絡(SIRN),這是一個由安全公司和研究人員組成的會員制組織,專注於實時危機響應。
這些舉措解決了 Drift 暴露出的部分問題,但並未觸及造成損失的根本機制。Drift 的智能合約並未遭到破壞,其代碼也通過了審計。漏洞在於人為因素:攻擊者花了六個月時間與 Drift 的貢獻者建立聯繫,並通過惡意代碼庫和偽造的 TestFlight 應用入侵了他們的設備。
根據 Stride 計劃,總鎖定價值 (TVL) 超過 1000 萬美元且通過評估的協議將獲得由Solana基金會撥款資助的持續運營安全和主動威脅監控,覆蓋範圍根據每個協議的風險狀況進行調整。
對於 TVL 超過 1 億美元的協議,該基金會還將資助形式化驗證,這是一種數學方法,用於檢查智能合約中每一種可能的執行路徑,以保證其正確性。
除了 Asymmetric Research 之外,創始成員還包括 OtterSec、Neodyme、Squads 和 ZeroShadow。該網絡對所有Solana協議開放,但優先級由 TVL 決定。
然而,Stride 的正式驗證卻無法發現朝鮮的攻擊,朝鮮利用被入侵的設備獲取多重簽名批准,然後將這些批准鎖定到持久 nonce 交易中,並在數週後執行。
即使全天候監控鏈上活動也無濟於事,因為這些交易本身是合法的,並且在被用於盜空金庫之前,與合法的管理操作並無二致。此次攻擊利用了鏈上正確性與鏈下用戶信任之間的鴻溝,而任何智能合約審計或監控工具都無法彌補這一鴻溝。
然而,SIRN本可以協助應對此次攻擊。鏈上安全專家ZachXBT批評穩定幣發行商Circle Internet (CRCL)在攻擊發生後的六個小時內未能凍結超過2.3億美元的被盜USDC (與美元掛鉤)。
建立專門的事件響應網絡,並與橋接運營商、交易所和穩定幣發行方建立穩固的合作關係,或許可以縮短響應時間。但這種響應速度是否足以阻止“蟲洞”橋接和通過“龍捲風現金”進行的混淆操作,目前尚無定論。
該基金會謹慎地指出,這些程序“並沒有將根本責任從協議本身轉移出去”,但在 Drift 事件的調查顯示個人貢獻者設備是國家級攻擊的入口點之後,這句話的含義就有所不同了。
Solana已經為開發者提供了幾個免費的安全工具,包括用於威脅檢測的 Hypernative、用於實時監控的 Range Security 以及用於攻擊模擬的 Neodyme 的 Riverguard。
