Το Ίδρυμα Solana ανακοίνωσε σειρά πρωτοβουλιών ασφαλείας για τα πρωτόκολλα DeFi που χτίζονται στο δίκτυό του. Η κίνηση έγινε πέντε μέρες μετά από μια μεγάλη κλοπή 270 εκατομμυρίων δολαρίων που αποδίδεται σε ομάδα συνδεδεμένη με τη Βόρεια Κορέα. Το ενδιαφέρον είναι ότι τα νέα εργαλεία δεν θα είχαν αποτρέψει αυτή ακριβώς την επίθεση.
Το Ίδρυμα Solana ανακοίνωσε τη Δευτέρα ένα πακέτο νέων μέτρων ασφαλείας για τα αποκεντρωμένα χρηματοοικονομικά πρωτόκολλα (DeFi) που λειτουργούν στο blockchain του. Η ανακοίνωση έγινε μόλις πέντε μέρες μετά την κλοπή 270 εκατομμυρίων δολαρίων από την πλατφόρμα Drift Protocol — μια επίθεση που, σύμφωνα με τις έρευνες, οργανώθηκε από ομάδα που συνδέεται με το καθεστώς της Βόρειας Κορέας.
Το κεντρικό πρόγραμμα ονομάζεται Stride και θα αξιολογεί τα πρωτόκολλα DeFi βάσει οκτώ κριτηρίων ασφαλείας. Τα αποτελέσματα θα δημοσιεύονται ανοιχτά, ώστε οι χρήστες να γνωρίζουν πού στέκεται κάθε πλατφόρμα. Παράλληλα, ιδρύεται το Solana Incident Response Network (SIRN), ένα δίκτυο εταιρειών και ερευνητών ασφαλείας που θα επεμβαίνουν σε πραγματικό χρόνο όταν ξεσπά κάποιο περιστατικό.
Για πρωτόκολλα που φιλοξενούν πάνω από 10 εκατομμύρια δολάρια σε κεφάλαια χρηστών και περνούν την αξιολόγηση, το Ίδρυμα θα χρηματοδοτεί συνεχή παρακολούθηση απειλών, 24 ώρες το 24ωρο. Για τα μεγαλύτερα πρωτόκολλα, άνω των 100 εκατομμυρίων δολαρίων, θα χρηματοδοτείται επιπλέον η λεγόμενη «επίσημη επαλήθευση» — μια μαθηματική μέθοδος που ελέγχει εξαντλητικά τον κώδικα ενός έξυπνου συμβολαίου για να εντοπίσει κάθε πιθανό σφάλμα.
Το πρόβλημα είναι ότι κανένα από αυτά τα εργαλεία δεν θα είχε σταματήσει την επίθεση στο Drift. Και αυτό είναι το σημείο που αξίζει προσοχή.
Ο κώδικας του Drift ήταν σωστός. Είχε περάσει ελέγχους ασφαλείας. Δεν υπήρχε τεχνικό κενό στα έξυπνα συμβόλαια. Η επίθεση ήταν ανθρώπινη: οι δράστες πέρασαν έξι μήνες χτίζοντας σχέσεις εμπιστοσύνης με συνεργάτες του Drift, μέχρι που κατάφεραν να μολύνουν τις συσκευές τους μέσω ενός κακόβουλου αποθετηρίου κώδικα και μιας ψεύτικης εφαρμογής. Από εκεί, απέκτησαν τις απαραίτητες εγκρίσεις για να αδειάσουν τα ταμεία — με συναλλαγές που φαινόταν απολύτως νόμιμες.
Με άλλα λόγια, η επίθεση εκμεταλλεύτηκε την εμπιστοσύνη μεταξύ ανθρώπων, όχι κάποιο κενό στον κώδικα. Και αυτό είναι κάτι που κανένα εργαλείο παρακολούθησης blockchain δεν μπορεί να εντοπίσει εκ των προτέρων.
Το SIRN, ωστόσο, θα μπορούσε να είχε βοηθήσει στην αντίδραση μετά την επίθεση. Ένας γνωστός αναλυτής ασφαλείας, ο ZachXBT, επέκρινε δημόσια την εταιρεία Circle — που εκδίδει το stablecoin USDC — επειδή δεν πάγωσε πάνω από 230 εκατομμύρια δολάρια σε κλεμμένα κεφάλαια μέσα στο εξάωρο παράθυρο που υπήρχε μετά την επίθεση. Ένα οργανωμένο δίκτυο αντίδρασης με καθιερωμένες επαφές σε ανταλλακτήρια και εκδότες stablecoins θα μπορούσε να είχε συντομεύσει αυτή την καθυστέρηση.
Το Ίδρυμα Solana φρόντισε να διευκρινίσει ότι τα νέα προγράμματα «δεν μεταφέρουν την ευθύνη μακριά από τα ίδια τα πρωτόκολλα». Μια φράση που αποκτά ιδιαίτερο βάρος αν σκεφτεί κανείς ότι η επίθεση στο Drift ξεκίνησε από τις προσωπικές συσκευές μεμονωμένων συνεργατών.
Για τον απλό επενδυτή που χρησιμοποιεί πλατφόρμες DeFi, το μήνυμα είναι σαφές: η ασφάλεια ενός πρωτοκόλλου δεν εξαρτάται μόνο από τον κώδικά του, αλλά και από τους ανθρώπους που το διαχειρίζονται. Τα νέα μέτρα του Ιδρύματος Solana είναι ένα βήμα προς τη σωστή κατεύθυνση — αλλά δεν καλύπτουν το πιο δύσκολο κομμάτι του παζλ.
