"Программы на Solana фундаментально более безопасны" - основатель OtterSec оценивает низкий уровень эксплойтов в Solana

Несмотря на кропотливую работу аудиторов по всей отрасли, взломы и эксплойты блокчейна по-прежнему являются обычным явлением. 

По данным, некоторые сети и виртуальные машины подвергаются гораздо большему риску, чем другие.

Кроме того, данные свидетельствуют о том, что некоторые сети и виртуальные машины подвержены гораздо большему риску, чем другие, и в Solana значительно меньше случаев взлома по сравнению с ее конкурентами.

Является ли Solana и SVM по своей сути более безопасными, чем ее конкуренты? В беседе с SolanaFloor основатель OtterSec Роберт Чен развеял некоторые мифы, связанные с безопасностью блокчейна.

Является ли EVM более счастливым местом охоты для хакеров?

Согласно данным DefiLlama, в 2024 году сети EVM пострадали от взломов и эксплойтов на сумму более 792 млн долларов. Для сравнения, Solana пострадала всего на $33,5 млн, причем $14,8 млн из этой суммы пришлось на эксплойт криптовалютной биржи Rain, который также был нацелен на кошельки Bitcoin, Ethereum и XRP.

В большинстве зафиксированных случаев хакеры похищают средства, находя уязвимости в логике протокола. Судя по записям DefiLlama’s, протоколы в сетях EVM становятся жертвами атак на несовершенную логику чаще, чем их аналоги в Solana, несмотря на резкий приток капитала и пользователей в экосистему Solana в 2024 году.

Роберт Чен, основатель компании OtterSec, одного из самых авторитетных аудиторов индустрии смарт-контрактов, утверждает, что это несоответствие обусловлено многими факторами. Признавая, что “трудно сказать наверняка”, Чен утверждает, что “одна из теорий заключается в том, что программы на Solana фундаментально более безопасны из-за модели программирования”

.

“Возможно, это частично верно в том смысле, что при разработке виртуальной машины у них было преимущество задней мысли, верно? Так, например, одним из главных примеров является отсутствие реентерабельности в Solana, что уменьшает довольно большую площадь атаки.”

.

Чен признает, что это может быть не “полной историей”. Основатель отметил, что в 2022 и 2023 годах Solana пережила несколько масштабных взломов и эксплойтов. Кроме того, Чен подтвердил, что некоторые уязвимости “принципиально не зависят от VM. Например, любой экономический эксплойт не зависит от VM..

Хотя в Solana было сравнительно мало взломов и эксплойтов из-за несовершенства логики протокола, это не учитывает средства, добытые путем систематического коверкания ончейна. В экономике мемов Solana&rsquo ; десятки недобросовестных акторов проводят зацикленные аферы, используя неосторожных трейдеров.

Кто проверяет аудиторов?

За годы работы компания Ottersec завоевала репутацию одного из самых надежных аудиторов в отрасли. Однако хакеры становятся все более хитрыми и неустанно работают над обнаружением новых векторов атак.

По мнению Чена, лучший способ опередить новые стратегии атак - это применять новые знания задним числом и глубже изучать стек.

“Как только вы проведете большое количество протоколов, вы сможете взять опыт одного протокола и применить его к другому. Если вы заметите что-то в одном протоколе, вы сможете вернуться назад и посмотреть на все остальные протоколы.

“Как только вы проведете большое количество протоколов, вы сможете использовать их в других.

“Я думаю, мы также стараемся заглянуть очень глубоко в стек. Например, мы проводим аудит клиента валидатора, но также мы проводим аудит таких фреймворков, как Anchor. Думаю, наличие такого опыта или хотя бы такого опыта позволяет нам смотреть немного глубже, чем другие люди”

.

Чен утверждает, что аудиторский бизнес - это доверие и отношения на заказ. Мнение, как общественное, так и частное, является основным показателем, определяющим способность фирмы эффективно проводить аудит.

“Я думаю, что всегда существует неявная проверка в том смысле, что если вы ошибетесь, не один раз, а много раз, то молва об этом распространится, не так ли?

Когда речь заходит о репутации аудиторской фирмы, в настоящее время не существует высшей силы или организации, которая следила бы за соблюдением аудиторами определенных стандартов. Однако Чен утверждает, что наличие такого органа не обязательно.

“Я думаю, что аудит очень нестандартен в том смысле, что в основе своей это бизнес, основанный на доверии. Не существует настоящего центрального органа, к которому люди любят обращаться или, в моем случае, хотят обращаться, чтобы получить доверие к стандартам аудита. У людей есть свои любимые аудиторы, они знают, с кем хотят работать. Такие индивидуальные отношения трудно заменить централизованной стороной”

.

Успешный аудит не является надежной гарантией того, что протокол полностью свободен от уязвимостей. Однако, как метко выразился Чен: “это игра вероятностей”. Аудированные протоколы, скорее всего, будут иметь меньше ошибок, чем неаудированные. 

Пользователям криптовалют всегда следует проводить тщательную проверку перед взаимодействием с onchain-протоколами и поддерживать строгие стандарты безопасности.

Подробнее о SolanaFloor

Криптовалюты делают более смелые шаги в TradFi

Как NYSE Arca’Latest Filing Legitimize Solana ETFs?

Освежите основы криптобезопасности