Solana Foundation on julkistanut kattavan turvallisuushallinnan uudistuksen, joka tulee voimaan vain muutaman päivän kuluttua, kun merkittävä hajautetun rahoituksen (DeFi) alusta, Drift Protocol, kärsi 270 miljoonan dollarin hyökkäyksestä. Tämä massiivinen menetyksellinen tapahtuma, joka oli seurausta kuuden kuukauden mittaisesta sosiaalisesta manipuloinnista, on pakottanut Solana-ekosysteemin reagoimaan nopeasti ja rakentamaan vahvempia puolustusmekanismeja.
Uudistuksen ydin on kaksi uutta alustaa: Stride ja Solana Incident Response Network (SIRN). Stride on strukturoitu arviointiohjelma, jonka johtaa Asymmetric Research. Sen tehtävänä on arvioida Solana-ekosysteemin DeFi-protokollia kahdeksan eri turvallisuusperiaatteen mukaisesti ja julkaista tulokset avoimesti. Tämä luo läpinäkyvän standardin protokollien turvallisuudelle.
Lisäksi Foundation on perustanut SIRN:n, joka on jäsenpohjainen verkosto turvallisuusyrityksille ja tutkijoille. SIRN keskittyy tarjoamaan reaaliaikaista kriisivastetta, mikä voisi merkittävästi lyhentää reaktioaikaa, kun turvallisuusuhka havaitaan.
On kuitenkin erittäin tärkeää ymmärtää, mitä Drift-hyökkäys todella paljasti. Vaikka uudet ohjelmat pyrkivät parantamaan teknisiä puolustuksia, Driftin tapaus osoitti, että ongelma ei ollut älykkäissä sopimuksissa. Driftin koodi oli auditoitu ja virheetöntä. Hyökkäys oli puhtaasti inhimillinen: hyökkääjät rakensivat suhteita Driftin kehittäjiin ja saivat heidän laitteensa kompromettoitua haitallisen koodirepositorion ja väärennetyn TestFlight-sovelluksen kautta. Hyökkäys toteutettiin myöhemmin, kun kompromettoidut laitteet antoivat moniväylähyväksyntöjä (multisig approvals), jotka sitten suoritettiin myöhemmin ajassa.
Stride-ohjelman mukaisesti protokollat, joiden lukittu arvo (TVL) ylittää 10 miljoonaa dollaria, saavat Foundationin rahoittamia jatkuvia operatiivisia turvallisuuspalveluita ja aktiivista uhkien seurantaa, räätälöitynä kunkin protokollan riskiprofiiliin. Protokolleilla, joiden TVL on yli 100 miljoonaa dollaria, Foundation rahoittaa myös formaalin verifioinnin. Tämä on matemaattinen menetelmä, joka tarkistaa jokaisen mahdollisesti mahdollisen suorituskulun älykkäässä sopimuksessa varmistaakseen sen täydellisen oikeellisuuden.
Kuitenkin, kuten Foundation itsekin huomautti, Stride-ohjelman formaalinen verifiointi ei olisi havainnut Pohjois-Korean hyökkäystä. Koska hyökkäys hyödyntää laitteiden kompromettoimista saatuja oikeudellisia toimia, se on ollut kyse off-chain -luottamuksen ja on-chain -oikeellisuuden välisestä aukosta – aukosta, jota mikään älykkään sopimuksen auditoinnin tai seurantamistökalu ei pysty kattamaan.
SIRN:n rooli olisi voinut olla reaktiivisessa vaiheessa. Asiantuntijat ovat kritisoineet esimerkiksi vakaavalun toimijoita siitä, että he eivät pysäyttäneet varastettua USDC-valuuttaa riittävän nopeasti hyökkäyksen alussa. SIRN:n kaltainen erikoistunut kriisiverkosto, jolla on vakiintuneet suhteet operaattoreihin, pörssiin ja vakaavalun toimijoihin, olisi voinut lyhentää vastausaikaa. Kuitenkin, on epäselvää, olisiko se ollut riittävän nopeaa estääkseen esimerkiksi Wormhole-sillan käyttöä tai Tornado Cashin kautta tapahtuvaa peittämistä.
Solana Foundation on korostanut, että nämä ohjelmat eivät siirrä perusvastuuta protokollilta itseltään. Tämä on erityisen merkittävää, kun Driftin jälkianalyysi osoitti, että yksittäisten kehittäjien laitteet olivat hyökkäyksen pääsisäänkäynti. Vaikka Solana tarjoaa joitakin ilmaisia turvallisuusvälineitä, kuten Hypernative ja Range Security, uudet hankkeet pyrkivät luomaan systemaattisemman ja yhteisöllisemmän turvallisuusverkon koko ekosysteemille.