"Programma's op Solana zijn fundamenteel veiliger" - OtterSec-oprichter weegt mee in Solana's lage exploitspercentage

Dankzij het ijverige werk van auditors in de hele sector zijn blockchain-hacks en exploits nog steeds aan de orde van de dag. 

Uit gegevens blijkt echter dat bepaalde netwerken en virtuele machines een veel groter risico lopen dan andere, waarbij Solana een aanzienlijk lager aantal hacks kent in vergelijking met zijn rivalen.

Is Solana en de SVM inherent veiliger dan zijn concurrenten? In een gesprek met SolanaFloor ontkrachtte OtterSec oprichter Robert Chen enkele mythes rond blockchainbeveiliging.

Is de EVM een gelukkiger jachtterrein voor hackers?

Volgens DefiLlama-gegevens hebben EVM-netwerken in 2024 meer dan 792 miljoen dollar te lijden gehad onder hacks en exploits. Ter vergelijking: Solana heeft in totaal slechts $ 33,5 miljoen te verduren gehad, waarvan $ 14,8 miljoen te wijten was aan de Rain crypto exchange exploit, die ook gericht was op Bitcoin, Ethereum en XRP wallets.

In de meeste geregistreerde gevallen stelen hackers geld door kwetsbaarheden te vinden in protocollogica. Op basis van DefiLlama’s opnames worden protocollen op EVM-netwerken vaker het slachtoffer van aanvallen op gebrekkige logica dan hun Solana-tegenhangers, ondanks de dramatische toestroom van kapitaal en gebruikers naar het Solana-ecosysteem in 2024.

Robert Chen, oprichter van OtterSec, een van de meest gerenommeerde smart contract auditors in de industrie’> stelt dat er veel factoren zijn die bijdragen aan deze discrepantie. Hoewel hij toegeeft “it’s hard to say for sure”beweert Chen “one theory is that programs on Solana are fundamentally more secure because of the programming model.”

“Dat is waarschijnlijk gedeeltelijk waar in de zin dat ze achteraf het voordeel hadden bij het ontwerpen van de VM, toch? Een groot voorbeeld is dat er geen re-entrancy is op Solana, wat een vrij groot aanvalsoppervlak beperkt.”

Chen erkent dat dit misschien niet “het volledige verhaal” is. De oprichter merkte op dat Solana in 2022 en 2023 zelf te maken kreeg met verschillende grootschalige hacks en exploits. Daarnaast verklaarde Chen dat sommige kwetsbaarheden “fundamenteel VM agnostisch zijn. Bijvoorbeeld, elke vorm van economische uitbuiting is VM agnostisch.”

Terwijl Solana heeft geleden onder een relatief laag aantal hacks en exploits als gevolg van gebrekkige protocollogica, wordt er geen rekening gehouden met fondsen die worden onttrokken door systematische onchain rugpulls. Solana’s meme economie bevat tientallen snode actoren die oplichtingspraktijken uitvoeren en misbruik maken van onoplettende handelaren.

Who’s Auditing the Auditors?

Over de jaren heeft Ottersec een reputatie opgebouwd als een van de meest betrouwbare auditors in de sector. Hackers worden echter steeds sluwer en werken onophoudelijk aan het ontdekken van nieuwe aanvalsvectoren.

Volgens Chen is de beste manier om nieuwe aanvalsstrategieën voor te blijven om nieuwe kennis met terugwerkende kracht toe te passen en dieper in de stack te kijken.

“Als je eenmaal een groot aantal protocollen hebt gedaan, kun je de lessen van het ene protocol toepassen op het andere. Als je iets opmerkt in één protocol, kun je teruggaan en alle andere protocollen bekijken.”

“Ik denk dat we ook heel diep in de stack proberen te kijken. We doen bijvoorbeeld audits van de validatieclient, maar we doen ook audits van frameworks zoals Anchor. Ik denk dat het hebben van dat soort expertise of in ieder geval dat soort blootstelling ons een beetje dieper laat kijken dan andere mensen.”

Chen stelt dat de auditbusiness draait om vertrouwen en op maat gemaakte relaties. Opinie, zowel publiek als privaat, is de belangrijkste indicator voor het vermogen van een kantoor om effectief audits uit te voeren.

“Ik denk dat er altijd een impliciete controle is in de zin dat als je het verknoeit, niet één keer, maar als je het vaak verknoeit, de mond-tot-mondreclame rondgaat, toch?

Wanneer het aankomt op de reputatie van accountantskantoren, is er momenteel geen hogere macht of entiteit die ervoor zorgt dat accountants zich aan een bepaalde standaard houden. Chen stelt echter dat een hogere instantie niet per se nodig is.

“Ik denk dat auditing heel bespoke is in de zin dat het fundamenteel een zaak van vertrouwen is. Er is niet echt een centrale instantie waar mensen zich graag toe wenden, of, ik bedoel, in mijn geval, zich toe willen wenden, om dit vertrouwen in controlestandaarden te krijgen. Mensen hebben hun eigen voorkeursauditors, ze weten met wie ze willen werken. Dit soort op maat gemaakte relaties zijn moeilijk te vervangen door een gecentraliseerde partij”

Een succesvolle audit is geen waterdichte garantie dat een protocol volledig vrij is van kwetsbaarheden. Maar, zoals Chen treffend zegt: “it's a game of probabilities”. Gecontroleerde protocollen hebben waarschijnlijk minder bugs dan niet-gecontroleerde protocollen. 

Crypto-gebruikers moeten altijd een grondige due diligence uitvoeren voordat ze met onchain-protocollen werken en strenge beveiligingsstandaarden aanhouden.

Lees meer over SolanaFloor

Crypto zet gedurfdere stappen in TradFi

Hoe legaliseert NYSE Arca’s laatste depot Solana ETF's?

Refresh Your Crypto Security Essentials