Solana Foundation mengumumkan perombakan keamanan beberapa hari setelah eksploitasi Drift senilai $270 juta

Yayasan Solana mengumumkan serangkaian inisiatif keamanan pada hari Senin, hanya lima hari setelah platform keuangan terdesentralisasi (DeFi) Drift Protocol mengalami eksploitasi sebesar $270 juta dilakukan oleh Korea Utara kelompok yang terkait dengan negara setelah kampanye rekayasa sosial selama enam bulan.

Fokus utamanya adalah Stride, sebuah program evaluasi terstruktur yang dipimpin oleh Asymmetric Research yang akan menilai protokol DeFi Solana berdasarkan delapan pilar keamanan dan mempublikasikan temuanya secara terbuka. Yayasan tersebut juga memperkenalkan Solana Incident Response Network (SIRN), sebuah kelompok berbasis keanggotaan yang terdiri dari firma keamanan dan peneliti yang berfokus pada respons krisis waktu nyata.

Inisiatif tersebut mengatasi sebagian dari masalah yang diungkap oleh Drift, namun tidak pada mekanisme yang sebenarnya menyebabkan kerugian. Kontrak pintar Drift tidak disusupi, dan kodenya telah lulus audit. Kerentanannya bersifat manusiawi: Para penyerang menghabiskan enam bulan membangun hubungan dengan kontributor Drift dan membobol perangkat mereka melalui repositori kode berbahaya serta aplikasi TestFlight palsu.

Di bawah Stride, protokol dengan total nilai terkunci (TVL) lebih dari $10 juta yang lulus evaluasi akan menerima keamanan operasional berkelanjutan dan pemantauan ancaman aktif yang didanai oleh hibah dari Solana Foundation, dengan cakupan yang disesuaikan dengan profil risiko masing-masing protokol.

Untuk protokol dengan TVL lebih dari $100 juta, yayasan juga akan mendanai verifikasi formal, sebuah metode matematis yang memeriksa setiap kemungkinan jalur eksekusi dalam kontrak pintar untuk menjamin kebenarannya.

Selain Asymmetric Research, anggota pendiri meliputi OtterSec, Neodyme, Squads, dan ZeroShadow. Jaringan ini tersedia untuk semua protokol Solana namun diprioritaskan berdasarkan TVL.

Baca selengkapnya: Bagaimana program mata-mata rahasia Korea Utara selama 6 bulan membuat komunitas kripto berpikir ulang tentang keamanan

Verifikasi formal Stride, bagaimanapun, tidak akan dapat mendeteksi serangan Korea Utara, yang menggunakan perangkat yang telah dikompromikan untuk memperoleh persetujuan multisig yang kemudian dikunci dalam transaksi nonce tahan lama dan dieksekusi beberapa minggu kemudian.

Pemantauan aktivitas onchain 24/7 pun tidak akan efektif, karena transaksi tersebut valid secara desain dan tidak dapat dibedakan dari tindakan administratif yang sah hingga akhirnya digunakan untuk menguras brankas. Serangan tersebut memanfaatkan celah antara kebenaran onchain dan kepercayaan manusia di luar rantai, sebuah celah yang tidak dapat dijangkau oleh audit kontrak pintar atau alat pemantauan mana pun.

Namun, SIRN sebenarnya dapat membantu dalam respons tersebut. ZachXBT, seorang ahli keamanan onchain, mengkritik penerbit stablecoin Circle Internet (CRCL) karena gagal membekukan lebih dari $230 juta USDC yang dicuri dan dipatok pada dolar selama jendela enam jam setelah serangan dimulai.

Jaringan respons insiden khusus dengan hubungan yang mapan ke operator jembatan, bursa, dan penerbit stablecoin mungkin telah memperpendek waktu respons. Apakah itu akan cukup cepat untuk mencegah perambatan Wormhole dan pengaburan melalui Tornado Cash masih menjadi pertanyaan terbuka.

Yayasan tersebut dengan hati-hati mencatat bahwa program-program tersebut "tidak mengalihkan tanggung jawab mendasar dari protokol itu sendiri," sebuah pernyataan yang terbaca berbeda setelah laporan postmortem Drift mengungkap bahwa perangkat kontributor individu merupakan titik masuk bagi serangan oleh negara-negara.

Solana sudah menyediakan beberapa alat keamanan gratis untuk para pengembang, termasuk Hypernative untuk deteksi ancaman, Range Security untuk pemantauan waktu nyata, dan Riverguard dari Neodyme untuk simulasi serangan.