Solana запустила STRIDE та SIRN, підвищивши стандарти безпеки екосистеми

Фонд Solana 7 квітня оголосив про запуск системи безпекової оцінки та моніторингу STRIDE, а також мережі реагування на інциденти SIRN. STRIDE здійснюватиме незалежні оцінки безпеки всіх DeFi-протоколів в екосистемі та публікуватиме результати, забезпечуючи цілодобовий проактивний моніторинг загроз для протоколів із TVL понад 10 млн доларів США; натомість SIRN зосереджується на негайній узгодженій відповіді після виникнення безпекового інциденту.

STRIDE: багаторівнева рамкова модель, що охоплює оцінку, моніторинг і формальну верифікацію

（Джерело: Solana）

STRIDE (Solana Trust, Resilience and Infrastructure for DeFi Enterprises) базується на рамковій моделі з восьми основ безпеки, розробленій Asymmetric Research, і проводить незалежну оцінку протоколів екосистеми Solana; результати публікуються у прозорий спосіб, що дає користувачам і інвесторам змогу розуміти поточний стан безпеки протоколів, на які вони покладаються.

Трирівнева класифікація захисту STRIDE

Базовий рівень оцінки (покриття всіх протоколів): усі протоколи Solana проходять незалежну оцінку безпеки; результати публічно зберігаються для ознайомлення громадськістю

Рівень проактивного моніторингу (TVL понад 10 млн доларів США): забезпечує цілодобовий моніторинг загроз; інтенсивність моніторингу динамічно коригується залежно від рівня ризику кожного протоколу; фінансування здійснюється за підтримки Фонду Solana

Рівень формальної верифікації (TVL понад 100 млн доларів США): методом математичних доказів перебирає та верифікує всі можливі сценарії виконання смарт-контрактів, надаючи найсуворіші гарантії коректності протоколам із найвищим ризиком

Фонд Solana підкреслює, що багаторівнева побудова гарантує зосередження ресурсів на протоколах із найвищими ризиками, водночас створюючи для всієї екосистеми публічно порівнюваний стандарт безпеки.

SIRN: мережа негайного реагування на інциденти за участю п’яти інституцій

Мережа реагування на інциденти Solana (SIRN) у той самий день офіційно стартувала, відкрившись для всіх протоколів Solana; пріоритети реагування визначаються за масштабом TVL. Засновницькими членами SIRN є Asymmetric Research, OtterSec, Neodyme, Squads та ZeroShadow; кожна з інституцій ділитиметься даними про загрози, координуватиме та забезпечуватиме негайні дії з реагування на безпекові інциденти, а також постійно надаватиме вхідні дані для еволюції рамкової моделі STRIDE, формуючи замкнений контур безпеки «оцінка + реагування».

Призначення SIRN — доповнити профілактичні функції STRIDE: коли безпековий інцидент прориває запобіжний рубіж, надавати багатосторонні можливості узгодженого реагування, які мають практичну боєздатність.

Наявна базова безпекова інфраструктура та безплатні інструменти в екосистемі Solana

STRIDE та SIRN спираються на вже накопичений рівень безпеки в екосистемі Solana. У чинних ключових протоколах Squads Multisig пройшов формальну верифікацію та завершив понад 10 аудитів, Kamino завершив 9 незалежних аудитів, Jupiter Lend пройшов формальну верифікацію та завершив 7 аудитів; провідні протоколи, що керують активами на десятки мільярдів доларів, роками нарощували компетенції саме в сфері безпеки.

Фонд Solana також синхронно надаватиме безплатні інструменти безпеки всім проєктам в екосистемі, зокрема: інституційне виявлення загроз від Hypernative (з вересня 2024 року), миттєві сповіщення про ризики від Range Security (з жовтня 2024 року), інструмент симуляції атак Riverguard від Neodyme, інструмент статичного аналізу X-Ray від Sec3 та безплатний шаблон безпеки Radar від AuditWare. Фонд Solana також є членом Crypto Defenders Alliance і бере участь у міжгалузевій співпраці з протидії шахрайству та відстеження викрадених активів.

Фонд Solana водночас чітко зазначає, що наведені ресурси з безпеки призначені для допомоги протоколам посилювати захист, а не для заміни протоколами власної фундаментальної відповідальності за безпеку — для протоколів, які керують великими обсягами коштів користувачів, суворі заходи безпеки є обов’язковими зобов’язаннями.

Поширені запитання

У чому полягає ключова різниця між STRIDE та SIRN?

STRIDE фокусується на безпековій оцінці та проактивному моніторингу загроз — це профілактична рамкова модель; SIRN натомість зосереджується на негайному узгодженому реагуванні кількох інституцій після виникнення безпекового інциденту — це механізм екстреного реагування. Разом обидві моделі формують двоконтурну систему захисту безпеки екосистеми Solana.

Які протоколи можуть отримати послугу проактивного моніторингу STRIDE?

Протоколи з TVL понад 10 млн доларів США, що пройшли оцінювання, отримають цілодобову проактивну послугу моніторингу загроз, профінансовану Фондом Solana; чим вищий TVL протоколу, тим суворіше покриття моніторингу він отримуватиме.

Чим відрізняються формальна верифікація та звичайні безпекові аудити?

Традиційні безпекові аудити здебільшого базуються на ручному аналізі коду; формальна верифікація ж через математичні методи перебирає та верифікує всі можливі стани виконання смарт-контрактів, що дозволяє виявляти граничні кейси, які складно охопити звичайним аудитом; це наразі найсуворіший підхід до верифікації коректності контрактів.