มูลนิธิ Solana ประกาศชุดริเริ่มด้านความปลอดภัยเมื่อวันจันทร์ เพียงห้าวันหลังจากแพลตฟอร์มการเงินแบบกระจายอำนาจ (DeFi) Drift Protocol ประสบเหตุถูกแฮ็กมูลค่า $270 ล้าน ซึ่งดำเนินการโดยกลุ่มที่เกี่ยวข้องกับรัฐบาลเกาหลีเหนือ หลังจากแคมเปญวิศวกรรมสังคมที่กินเวลานาน 6 เดือน
จุดศูนย์กลางคือ Stride ซึ่งเป็นโปรแกรมการประเมินเชิงโครงสร้างที่นำโดย Asymmetric Research โดยจะประเมินโปรโตคอล DeFi ของ Solana เทียบกับเสาหลักด้านความปลอดภัย 8 ประการ และเผยแพร่ผลการประเมินต่อสาธารณะ มูลนิธิยังได้เปิดตัว Solana Incident Response Network (SIRN) ซึ่งเป็นกลุ่มที่มีสมาชิกจากบริษัทด้านความปลอดภัยและนักวิจัย โดยมุ่งเน้นการรับมือเหตุวิกฤตแบบเรียลไทม์
บรรดาแนวทางใหม่นี้ช่วยแก้ไขส่วนหนึ่งของปัญหาที่ Drift เปิดเผย แต่ไม่ใช่กลไกที่แท้จริงซึ่งทำให้เกิดการสูญเสีย สัญญาอัจฉริยะของ Drift ไม่ถูกบุกรุก และโค้ดของมันผ่านการตรวจสอบ (audits) แล้ว ความเปราะบางเป็นเรื่องของมนุษย์: ผู้โจมตีใช้เวลานาน 6 เดือนในการสร้างความสัมพันธ์กับผู้มีส่วนร่วมของ Drift และทำให้เครื่องของพวกเขาถูกบุกรุกผ่านคลังโค้ดที่เป็นอันตราย รวมถึงแอป TestFlight ปลอม
ภายใต้ Stride โปรโตคอลที่มีมูลค่ารวมที่ล็อกไว้ (TVL) มากกว่า $10 ล้าน ซึ่งผ่านการประเมิน จะได้รับการรักษาความปลอดภัยด้านการปฏิบัติงานอย่างต่อเนื่องและการเฝ้าติดตามภัยคุกคามเชิงรุก โดยได้รับทุนจากเงินช่วยเหลือของ Solana Foundation โดยการดูแลจะถูกปรับให้เหมาะกับโปรไฟล์ความเสี่ยงของแต่ละโปรโตคอล
สำหรับโปรโตคอลที่มี TVL มากกว่า $100 ล้าน มูลนิธิจะให้ทุนสนับสนุนการพิสูจน์ทางคณิตศาสตร์แบบเป็นทางการ (formal verification) ด้วย ซึ่งเป็นวิธีการตรวจสอบเส้นทางการทำงานที่เป็นไปได้ทั้งหมดในสัญญาอัจฉริยะ เพื่อรับประกันความถูกต้อง
นอกเหนือจาก Asymmetric Research สมาชิกผู้ก่อตั้งยังรวมถึง OtterSec, Neodyme, Squads และ ZeroShadow เครือข่ายนี้เปิดให้โปรโตคอลของ Solana ทุกตัวใช้งานได้ แต่จะได้รับการจัดลำดับความสำคัญตามระดับ TVL
อย่างไรก็ตาม การพิสูจน์ทางคณิตศาสตร์แบบเป็นทางการของ Stride คงไม่สามารถตรวจจับการโจมตีจากเกาหลีเหนือได้ เพราะการโจมตีดังกล่าวใช้เครื่องที่ถูกบุกรุกเพื่อให้ได้การอนุมัติแบบ multisig จากนั้นจึงล็อกไว้ในธุรกรรม nonce ที่ทนทาน (durable nonce transactions) และถูกดำเนินการในอีกหลายสัปดาห์ต่อมา
เช่นเดียวกัน การเฝ้าติดตามกิจกรรมบนเชนแบบ 24/7 ก็ไม่น่าจะช่วยได้เช่นกัน เพราะธุรกรรมถูกต้องตามการออกแบบและแยกไม่ออกจากการกระทำเชิงบริหารที่ถูกต้องตามกฎหมายจนกระทั่งถูกนำไปใช้เพื่อระบายเงินออกจากคลัง (vaults) การโจมตีใช้ช่องว่างระหว่างความถูกต้องบนเชนกับความไว้วางใจของมนุษย์นอกเชน ซึ่งไม่มีการตรวจสอบสัญญาอัจฉริยะหรือเครื่องมือเฝ้าติดตามแบบใดที่ถูกสร้างขึ้นมาให้ครอบคลุมช่องว่างนี้
แต่ SIRN น่าจะช่วยในการตอบโต้ได้ ZachXBT ผู้เชี่ยวชาญด้านความปลอดภัยบนเชน วิจารณ์ Circle Internet (CRCL) ผู้ให้บริการสเตเบิลคอยน์ ว่าล้มเหลวในการแช่แข็งสเตเบิลคอยน์ USDC ที่ถูกขโมยมูลค่ามากกว่า $230 ล้าน ซึ่งเป็นดอลลาร์ที่ผูกมูลค่าไว้ (dollar-pegged) ในช่วงเวลาประมาณ 6 ชั่วโมงหลังจากการโจมตีเริ่มขึ้น
เครือข่ายเฉพาะสำหรับการตอบสนองเหตุการณ์ที่มีความสัมพันธ์ที่ยืนยันไว้แล้วเพื่อเชื่อมต่อกับผู้ให้บริการโครงสร้างพื้นฐาน (bridge operators), ตลาดแลกเปลี่ยน และผู้ออกสเตเบิลคอยน์ อาจทำให้เวลาตอบสนั้นสั้นลง คำถามคือจะเร็วพอที่จะป้องกันการเชื่อม (bridging) และการทำให้อำพรางผ่าน Tornado Cash ของ Wormhole ได้หรือไม่ ยังคงเป็นประเด็นที่เปิดอยู่
มูลนิธิระมัดระวังในการระบุว่าโปรแกรมเหล่านี้ "ไม่ได้โอนความรับผิดชอบขั้นพื้นฐานออกไปจากตัวโปรโตคอลเอง" ซึ่งเป็นถ้อยคำที่ดูแตกต่างออกไปหลังจากรายงานชันสูตรหลังเหตุการณ์ของ Drift เผยให้เห็นว่าอุปกรณ์ของผู้มีส่วนร่วมแต่ละคนคือจุดเริ่มต้น (entry point) สำหรับการโจมตีจากรัฐชาติ
Solana มีเครื่องมือความปลอดภัยฟรีสำหรับผู้สร้างอยู่แล้วหลายอย่าง รวมถึง Hypernative สำหรับการตรวจจับภัยคุกคาม, Range Security สำหรับการเฝ้าติดตามแบบเรียลไทม์ และ Riverguard ของ Neodyme สำหรับการจำลองการโจมตี
