Solana Foundation onthult beveiligingsherziening enkele dagen na $270 miljoen Drift-exploit

De Solana Foundation kondigde maandag een reeks beveiligingsinitiatieven aan, slechts vijf dagen nadat het gedecentraliseerde financiële (DeFi) platform Drift Protocol werd getroffen door een exploit van $270 miljoen uitgevoerd door een Noord-Koreaan door een door de staat gelieerde groep na een zes maanden durende social engineering-campagne.

Het middelpunt is Stride, een gestructureerd evaluatieprogramma onder leiding van Asymmetric Research dat Solana DeFi-protocollen zal beoordelen aan de hand van acht veiligheidsprincipes en de bevindingen openbaar zal maken. De stichting introduceerde ook het Solana Incident Response Network (SIRN), een ledenorganisatie bestaande uit beveiligingsbedrijven en onderzoekers die zich richten op realtime crisisrespons.

De initiatieven pakken een deel van het probleem aan dat door Drift aan het licht werd gebracht, maar niet de mechanismen die daadwerkelijk tot het verlies hebben geleid. De smart contracts van Drift werden niet gecompromitteerd en de code doorstond audits. De kwetsbaarheid was menselijk: de aanvallers brachten zes maanden door met het opbouwen van relaties met Drift-bijdragers en compromitteerden hun apparaten via een kwaadaardige code repository en een nep TestFlight-app.

Onder Stride zullen protocollen met meer dan $10 miljoen aan totale waarde vergrendeld (TVL) die de evaluatie doorstaan, doorlopende operationele beveiliging en actieve dreigingsmonitoring ontvangen, gefinancierd door subsidies van de Solana Foundation, met dekking afgestemd op het risicoprofiel van elk protocol.

Voor protocollen met meer dan $100 miljoen aan TVL zal de foundation ook formele verificatie financieren, een wiskundige methode die elke mogelijke uitvoeringsroute in een smart contract controleert om juistheid te garanderen.

Naast Asymmetric Research omvatten de oprichtende leden OtterSec, Neodyme, Squads en ZeroShadow. Het netwerk is beschikbaar voor alle Solana-protocollen, maar wordt geprioriteerd op basis van TVL.

Lees meer: Hoe het 6 maanden durende geheime spionageprogramma van Noord-Korea de crypto-gemeenschap doet nadenken over beveiliging

De formele verificatie van Stride zou echter de aanval vanuit Noord-Korea niet hebben kunnen detecteren, waarbij de gecompromitteerde apparaten werden gebruikt om multisig-goedkeuringen te verkrijgen die vervolgens werden vastgezet in duurzame nonce-transacties en weken later werden uitgevoerd.

Ook 24/7 monitoring van onchain-activiteit zou niet helpen, omdat de transacties per ontwerp geldig waren en niet te onderscheiden waren van legitieme administratieve handelingen totdat ze werden gebruikt om de kluizen leeg te halen. De aanval maakte gebruik van de kloof tussen onchain-correctheid en offchain menselijk vertrouwen, een kloof die geen enkele smart contract-audit of monitoringtool kan overbruggen.

SIRN had echter kunnen helpen bij de reactie. ZachXBT, een expert op het gebied van onchain-beveiliging, bekritiseerde stablecoin-uitgever Circle Internet (CRCL) omdat het er niet in slaagde om meer dan $230 miljoen aan gestolen dollar-gekoppelde USDC te bevriezen tijdens een periode van zes uur nadat de aanval was begonnen.

Een toegewijd incidentresponsnetwerk met gevestigde relaties met brugoperators, beurzen en uitgevers van stablecoins had de reactietijd mogelijk kunnen verkorten. Of het snel genoeg zou zijn geweest om de Wormhole-bridge en de verdoezeling via Tornado Cash te voorkomen, is een open vraag.

De stichting wees er zorgvuldig op dat de programma's "de onderliggende verantwoordelijkheid niet overdragen van de protocollen zelf," een passage die anders wordt gelezen na de post-mortem van Drift, waarin werd onthuld dat apparaten van individuele bijdragers het toegangspunt waren voor een aanval door een natiestaat.

Solana biedt al diverse gratis beveiligingstools voor ontwikkelaars, waaronder Hypernative voor dreigingsdetectie, Range Security voor real-time monitoring en Neodyme's Riverguard voor aanvalssimulatie.