"Os programas no Solana são fundamentalmente mais seguros" - O fundador da OtterSec avalia a baixa taxa de exploração do Solana
Os dados sugerem que as redes EVM sofreram mais de $792,6 milhões em hacks ao longo de 2024, em comparação com $33,5 milhões no Solana. O que torna o Solana mais seguro?
- Publicado: Nov 15, 2024 at 21:36
- Editado: Nov 25, 2024 at 15:10
Apesar do trabalho diligente dos auditores em todo o setor, hacks e explorações de blockchain ainda são comuns.
No entanto, os dados indicam que certas redes e máquinas virtuais correm um risco muito maior do que outras, com Solana desfrutando de um número significativamente reduzido de hacks em comparação com seus rivais.
O Solana e o SVM são inerentemente mais seguros que seus concorrentes? Falando com SolanaFloor, O fundador da OtterSec Robert Chen dissipou alguns dos mitos que cercam segurança de blockchain.
O EVM é um campo de caça mais feliz para os hackers?
De acordo com Dados da DefiLlama, as redes EVM sofreram mais de US $ 792 milhões em hacks e exploits em 2024. Comparativamente, Solana suportou apenas um total de $ 33,5 milhões, com $ 14,8 milhões desse valor devido ao exploit de troca de criptografia Rain, que também visava carteiras Bitcoin, Ethereum e XRP.
Na maioria dos casos registados, os hackers roubam fundos ao encontrar vulnerabilidades na lógica do protocolo. Com base nas gravações do DefiLlama’ s, os protocolos nas redes EVM são vítimas de ataques à lógica defeituosa com mais frequência do que suas contrapartes Solana, apesar do influxo dramático de capital e usuários para o ecossistema Solana em 2024.
Robert Chen, fundador da OtterSec, um dos auditores de contratos inteligentes mais conceituados do setor, argumenta que há muitos fatores que contribuem para essa discrepância. Embora admitindo que "é difícil dizer com certeza", Chen afirmou que "uma teoria é que os programas em Solana são fundamentalmente mais seguros por causa do modelo de programação".
“Isso provavelmente é parcialmente verdade no sentido de que eles tiveram o benefício da retrospetiva ao projetar a VM, certo? Então, por exemplo, um grande exemplo é que não há reentrada em Solana, o que mitiga, uma superfície de ataque bastante grande.
Chen reconhece que pode não ser “a história completa”. O fundador observou que Solana sofreu vários hacks em grande escala e explorações próprias em 2022 e 2023. Além disso, Chen atestou que algumas vulnerabilidades “ são fundamentalmente agnósticas de VM. Por exemplo, qualquer tipo de exploração econômica é agnóstica de VM.”
Embora Solana tenha sofrido um número comparativamente baixo de hacks e exploits devido à lógica de protocolo falha, isso não leva em consideração os fundos extraídos por meio de rugpulls sistemáticos na cadeia. A economia meme de Solana’ apresenta dezenas de atores nefastos executando golpes em loop, tirando proveito de comerciantes incautos.
Quem está a auditar os auditores?
Ao longo dos anos, a Ottersec ganhou reputação como um dos auditores mais confiáveis do setor. No entanto, os hackers estão a tornar-se cada vez mais astutos, trabalhando incansavelmente para descobrir novos vectores de ataque.
De acordo com Chen, a melhor maneira de ficar à frente das novas estratégias de ataque é aplicar novos aprendizados retroativamente e olhar mais profundamente na pilha.
“Depois de fazer um grande número de protocolos, você pode pegar os aprendizados de um protocolo e aplicá-los ao outro. Se notarmos algo num protocolo, podemos voltar atrás e analisar todos os outros protocolos.
“Acho que também tentamos olhar muito profundamente na pilha. Por exemplo, fazemos auditorias ao cliente validador, mas também fazemos auditorias a estruturas como o Anchor. Eu acho que ter esse tipo de experiência ou pelo menos esse tipo de exposição nos permite olhar um pouco mais fundo do que outras pessoas.”
Chen argumenta que o negócio de auditoria tem a ver com confiança e relações personalizadas. A opinião, tanto pública como privada, é o principal indicador que mede a capacidade de uma empresa’para auditar eficazmente.
“Penso que há sempre uma verificação implícita no sentido de que se fizermos asneira, não uma vez, mas se fizermos asneira muitas vezes, o boca-a-boca espalha-se, certo?
Quando se trata da reputação de uma empresa de auditoria, não existe atualmente nenhum poder ou entidade superior que garanta que os auditores estão a manter um determinado padrão. No entanto, Chen argumenta que um órgão superior não é necessariamente necessário.
“Penso que a auditoria é muito específica no sentido em que é fundamentalmente um negócio sobre confiança. Não existe um verdadeiro organismo central a que as pessoas gostem de recorrer, ou, no meu caso, a que queiram recorrer, para obterem essa confiança relativamente às normas de auditoria. As pessoas têm os seus auditores preferidos, sabem com quem querem trabalhar. Esses tipos de relações personalizadas são difíceis de substituir por uma parte centralizada”
Uma auditoria bem-sucedida não é uma garantia infalível de que um protocolo está completamente livre de vulnerabilidades. No entanto, como Chen coloca apropriadamente: “é um jogo de probabilidades”. É provável que os protocolos auditados tenham menos bugs do que os não auditados.
Os usuários de criptografia devem sempre ter certeza de concluir a devida diligência antes de interagir com os protocolos onchain e manter padrões de segurança rigorosos.
Leia mais sobre o SolanaFloor
A criptografia dá passos mais ousados no TradFi
Como é que o último registo da NYSE Arca&rsquo legitima os ETFs Solana?
Refresque seus fundamentos de segurança de criptografia
