Die Solana Foundation kündigt ein Sicherheits-Upgrade an – Tage nachdem es zu einem Drift-Exploit in Höhe von 270 Millionen US-Dollar gekommen ist

Die Solana Foundation kündigte am Montag eine Reihe von Sicherheitsinitiativen an, nur fünf Tage nachdem die dezentrale Finanzplattform (DeFi) Drift Protocol einen Exploit im Wert von 270 Millionen US-Dollar erlitten hatte, der von einer nordkoreanischen, staatlich verbundenen Gruppe nach einer sechsmonatigen Social-Engineering-Kampagne durchgeführt wurde.

Im Mittelpunkt steht Stride, ein strukturiertes Evaluierungsprogramm, das von Asymmetric Research geleitet wird und Solana-DeFi-Protokolle anhand von acht Sicherheitsprinzipien bewerten sowie seine Ergebnisse öffentlich veröffentlichen wird. Die Stiftung führte außerdem das Solana Incident Response Network (SIRN) ein, ein mitgliedsbasiertes Netzwerk aus Sicherheitsfirmen und Forschern, das sich auf die Reaktion auf Krisen in Echtzeit konzentriert.

Die Initiativen greifen einen Teil des Problems auf, das durch Drift offengelegt wurde, aber nicht die Mechanik, die den Verlust tatsächlich verursacht hat. Drifts Smart Contracts wurden nicht kompromittiert, und sein Code bestand Audits. Die Schwachstelle war menschlicher Natur: Die Angreifer verbrachten sechs Monate damit, Beziehungen zu Drift-Beiträgern aufzubauen, und kompromittierten deren Geräte über ein bösartiges Code-Repository sowie eine gefälschte TestFlight-App.

Im Rahmen von Stride erhalten Protokolle mit einem Gesamtwert, der mehr als 10 Millionen US-Dollar beträgt und in Total Value Locked (TVL) gebunden ist, die die Evaluierung bestehen, fortlaufende operative Sicherheit und aktives Threat-Monitoring, finanziert durch Solana-Foundation-Zuschüsse, wobei die Abdeckung entsprechend dem Risikoprofil jedes Protokolls kalibriert wird.

Für Protokolle mit mehr als 100 Millionen US-Dollar TVL wird die Stiftung darüber hinaus auch eine formale Verifikation finanzieren, eine mathematische Methode, die jede mögliche Ausführungspfad in einem Smart Contract überprüft, um die Korrektheit zu garantieren.

Zusätzlich zu Asymmetric Research umfassen die Gründungsmitglieder OtterSec, Neodyme, Squads und ZeroShadow. Das Netzwerk steht allen Solana-Protokollen zur Verfügung, wird jedoch nach TVL priorisiert.

Strides formale Verifikation hätte den nordkoreanischen Angriff jedoch nicht abgefangen, der die kompromittierten Geräte nutzte, um Multisig-Freigaben zu erhalten, die anschließend in dauerhafte Nonce-Transaktionen eingebettet und dann Wochen später ausgeführt wurden.

Ebenso wenig hätte ein 24/7-Monitoring der Onchain-Aktivität geholfen, weil die Transaktionen designbedingt gültig waren und sich bis zu ihrer Verwendung zum Ausdrainieren der Vaults nicht von legitimen administrativen Handlungen unterscheiden ließen. Der Angriff nutzte die Lücke zwischen Onchain-Korrektheit und offchain-menschlichem Vertrauen aus—eine Lücke, die kein Smart-Contract-Audit und kein Monitoring-Tool abdeckt, das darauf ausgelegt ist, genau das zu liefern.

SIRN hätte jedoch bei der Reaktion helfen können. ZachXBT, ein Onchain-Sicherheitsexperte, kritisierte den Stablecoin-Emittenten Circle Internet (CRCL) dafür, dass er innerhalb eines sechs-stündigen Zeitfensters nach Beginn des Angriffs nicht mehr als 230 Millionen US-Dollar seines gestohlenen, an den Dollar gekoppelten USDC eingefroren hat.

Ein dediziertes Incident-Response-Netzwerk mit etablierten Beziehungen, um Betreiber, Börsen und Stablecoin-Emittenten zu verbinden, hätte die Reaktionszeit womöglich verkürzt. Ob es schnell genug gewesen wäre, um das Wormhole-Bridging und die Verschleierung über Tornado Cash zu verhindern, ist eine offene Frage.

Die Stiftung war sorgfältig darauf bedacht, zu betonen, dass die Programme „die zugrunde liegende Verantwortung nicht von den Protokollen selbst weg übertragen“, eine Formulierung, die sich anders liest, nachdem Drifts Postmortem offengelegt hat, dass die Geräte einzelner Beiträger der Einstiegspunkt für einen Angriff eines Nationalstaats waren.

Solana bietet bereits mehrere kostenlose Sicherheitstools für Entwickler an, darunter Hypernative zur Bedrohungserkennung, Range Security für das Monitoring in Echtzeit und Neodymes Riverguard zur Angriffssimulation.