Solana теряет от взломов меньше, чем конкурирующие сети: Certora объясняет почему
Средства, потерянные в результате взломов и эксплойтов, в Solana пропорционально ниже, чем в конкурирующих сетях - почему?
- Опубликовано:
- Отредактировано:
В то время как сторонники блокчейна празднуют невероятный год для индустрии, недобросовестные игроки в этом пространстве наслаждаются своим собственным "бычьим бегом"
.
Аналитики сообщают, что 2025 год стал богатым на нечестную игру. Только за первое полугодие плохие игроки украли более 1,93 млрд долларов США в результате преступлений, связанных с криптовалютами, что превысило сумму, потерянную в результате взломов и мошенничества за весь 2024 год.
Но, несмотря на беспрецедентный уровень злонамеренности в криптовалюте, Солана, по крайней мере технически, остается безусловно безопасной. В то время как сети EVM пострадали от взломов на сумму более $220 млн в 2025 году, приложения на базе Solana остались практически невредимыми, потеряв ~$18 млн в результате эксплойтов на данном этапе года. Поговорив эксклюзивно с Сетом Халлемом, генеральным директором Certora, ведущей компании по обеспечению безопасности блокчейна, SolanaFloor погрузился в детали, чтобы разобраться в этом огромном расхождении и выяснить, действительно ли Solana по своей сути является более безопасным пространством для работы. Еще один взгляд на список взломов DefiLlama’а рисует печальную картину. Если сделать снимок криптоэксплойтов за месяц, то становится очевидным, что цепочки EVM в значительной степени перепредставлены, особенно по сравнению с Solana и примыкающими к ней SVM. Кроме того, стоит отметить, что взлом Solana&rsquo ; Texture в июле был одним из всего лишь 3 эксплойтов в сети, в то время как в цепочках на базе EVM их десятки.
Хотя взломы бирж, такие как эксплойт ByBit стоимостью 1,4 млрд долларов, неизменно занимают первое место среди самых крупных и разрушительных событий в сфере безопасности, изъяны в логике протоколов являются далеко не самой распространенной уязвимостью, эксплуатируемой злоумышленниками. Халлем объясняет значительно меньшее количество взломов и эксплойтов Solana’присущей Solana’архитектурой программирования. Построенная на Rust, в отличие от ‘криптоэксклюзивных’ языков вроде Solidity, архитектура программирования Solana - это более доступный и проверенный в боях фундаментальный набор Lego, чем тот, который должны использовать разработчики EVM.
“Контракты Solana построены на Rust, который является гораздо более распространенным и знакомым языком программирования, чем Solidity. Каждый раз, когда разработчику приходится переучиваться, ему приходится изучать совершенно новый набор правил и практик безопасности… Solana с самого начала была разработана с учетом таких концепций, как возможность повторного использования и обновления. Это позволяет разработчикам строить поверх постоянно растущей библиотеки строительных блоков. Чем больше вы можете централизовать функциональность и повторное использование, тем больше у вас возможностей инвестировать в безопасность один раз на благо всего сообщества.” Кроме того, Халлем отметил, что благодаря значительно большей сети EVM-ландшафт представляет собой гораздо более благодатную почву для гнусных негодяев из темного подполья криптовалют. Ethereum&rsquo ; TVL на ~595% больше, чем Solana&rsquo ;, если не учитывать Layer-2s. “Цепочки EVM остаются более крупной и прибыльной целью - по мере роста Solana количество атак, направленных на цепочки Solana, будет расти.” Однако, хотя Халлем правильно отмечает, что площадь поверхности Ethereum&rsquo ; для атак значительно больше, объем взлома Solana&rsquo ; все же пропорционально меньше. Объем взлома Ethereum’2025 составляет 0,22 % от его TVL, по сравнению с 0,12 % у Solana. Несмотря на то, что самоохрана является отличительной чертой криптовалют, она представляет собой нечто вроде обоюдоострого меча. Ончейн-экономика может быть богатой финансовой площадкой с безграничными возможностями, но достаточно одного недобросовестного клика по ссылке или нераскрытого контракта, чтобы пользователи остались ни с чем. Сторонники криптовалют проповедуют мантру “don’t trust, verify” ad nauseum, но реальность такова, что подавляющее большинство пользователей блокчейна не в состоянии анализировать контракты на ончейне, с открытым исходным кодом. “Don’t trust, verify”, пожалуй, еще более излишне на Solana, где большинство приложений работают по протоколам с закрытым исходным кодом. Это ставит пользователей в затруднительное положение: Если вы не можете проверить, то как вы можете доверять? “Обычный конечный пользователь мало что выиграет от анализа контракта Rust, но он должен быть бдителен в отношении того, кто является надежным аудитором в этом пространстве, кто проверял каждую программу Solana, которую он собирается использовать, и что аудитор сказал об этой программе.Почему Solana подвергается меньшему количеству взломов, чем EVM?
Когда вы не можете проверить, кому вы можете доверять?
В этом месте авторитетные фирмы безопасности, такие как Certora, зарабатывают себе репутацию и становятся невоспетыми героями ончейн-экономики. Халлем сравнивает аудиторов безопасности блокчейна с экспертами-юристами в мире web2, которые отвечают за абстрагирование от невероятно сложных мелочей контрактов ончейн, отмечают потенциальные уязвимости и работают вместе с командами разработчиков над устранением векторов атак.
“Безопасность на цепочке - это вопрос на триллион долларов, и в конечном итоге это причина, по которой существуют такие компании, как Certora. Лучше всего подумать об этом, взяв за основу этику web3, согласно которой "код - это закон", и применив ее по аналогии. У большинства из нас нет ни опыта, ни терпения, чтобы читать каждый закон, принятый Конгрессом США. Вместо этого мы полагаемся на вторичные источники, которые более доступны - новостные статьи, объясняющие актуальные для нас законы, и, если возникают сомнения, юристы, специализирующиеся на толковании законов. В мире web3 все точно так же - аудиторские компании, такие как Certora, выступают в роли посредников, работая с разработчиками контрактов для обеспечения безопасности, но также выступая в роли интерпретатора доверия для сообщества конечных пользователей.
.
Как один из самых надежных аудиторов Solana’, Certora, несомненно, является одним из любимых “интерпретаторов доверия” в сети”.
Гиганты DeFi Соланы, включая такие платформы, как Jito и Kamino, владеющие многомиллиардными TVL, регулярно обращаются к Certora для проведения аудита безопасности, чтобы обеспечить безопасность своих пользователей&rsquo ;. По состоянию на август 2025 года Certora обеспечила безопасность более 9 млрд долларов США на платформе Solana, и эта цифра, вероятно, выросла за последние недели после недавнего резкого роста цен на $SOL’
Перед хакерами
Безопасность блокчейна - это тонкая игра в кошки-мышки. Хакеры постоянно разрабатывают новые векторы и стратегии атак, поэтому даже приложения, которые можно считать ‘безопасными’, должны быть в курсе новых тенденций в области эксплойтов.
Халлем утверждает, что подход Certora’к аудиту основан на двух направлениях. Благодаря опытной команде аудиторов Certora’ и таким технологиям, как инструменты формальной проверки, компания’ занимает проактивную позицию, защищая как приложения, так и пользователей.
Высококвалифицированные аудиторы Certora’, а также специалисты компании Certora’.“Сила Certora как аудитора строится на двух ключевых столпах: люди и технологии. Люди стоят на первом месте, и мы гордимся тем, что собрали талантливую группу экспертов по веб-безопасности и обеспечили им условия, которые поощряют их к лучшей работе. Чтобы обеспечить нашим командам наилучшие условия для достижения успеха, мы всегда назначаем на проект не менее двух аудиторов и постоянно внедряем инновации в процесс проведения аудита"
.Помимо назначения нескольких аудиторов на каждый проект, Certora также использует мощные инструменты безопасности для выявления уязвимостей.
“Технология - это второй столп нашей работы - мы создаем инновационные, ведущие в отрасли инструменты, которые используем для поиска уязвимостей в смарт-контрактах и, все чаще, для того, чтобы направлять наших аудиторов на подозрительные участки контракта, требующие дальнейшего расследования.
“Злоумышленники тоже внедряют инновации, и, пытаясь опередить их, мы идем двумя разными путями. Первый - убедиться, что мы всегда в курсе новейших векторов атак и того, как эти векторы могут повлиять на наших клиентов, но это, в конечном счете, реактивный подход. Второй - использование формальной верификации, основной технологии, лежащей в основе Certora, для математической гарантии отсутствия целых категорий сбоев, которые могут сделать контракт уязвимым.”
.Формальная верификация широко поддерживается идейными лидерами в области безопасности из Solana, включая основателя Kamino Мариуса Чуботариу и, конечно, отца-основателя Solana Labs Анатолия Яковенко.
Ответственность аудитора
Одним из самых больших заблуждений, пронизывающих криптопространство, является представление о том, что аудированные протоколы невосприимчивы к эксплойтам. Неудобная реальность заключается в том, что аудит безопасности блокчейна ни в коем случае не является гарантией того, что определенные протоколы и приложения безопасны для использования.
Напротив, криптовалютчики должны воспринимать аудит как настоящую, честную попытку экспертов защитить людей в меру своих возможностей. Халлем считает, что если протокол, прошедший аудит, будет взломан, то бремя и ответственность за эксплойт в конечном итоге ляжет на приложение, а не на аудитора.
“Аудиторы играют ключевую роль в установлении доверия в экосистеме web3, и в этом положении репутация аудиторской фирмы имеет первостепенное значение. Как и в случае с налоговым аудитором, я считаю, что ответственность аудитора заключается не в том, взломан протокол или нет, а в том, честен ли аудитор или нет. Многие компании успешно скрывали от своих налоговых аудиторов налоговые убежища и другие незаконные маневры, и если аудитор добросовестно пытался провести тщательную и полную проверку, то ответственность за эти решения лежит на компании, а не на аудиторе. В web3-пространстве мы чувствуем аналогичное обязательство - провести тщательный анализ кода наших клиентов и предоставить честный отчет о наших выводах. Однако мы все еще являемся лишь консультантами наших клиентов - мы не можем полностью контролировать их решения о том, какое именно программное обеспечение выпускать и как - и, учитывая характер нашей работы, наша работа всегда неполна - злоумышленники внедряют инновации, а уязвимости все больше зависят от взаимодействия, выходящего за рамки кода, который мы проверяем.
.Несмотря на сравнения с Web2, Халлем делает уместное замечание о роли блокчейн-аудиторов в индустрии, которая любит играть в игру с обвинениями. Несмотря на весь прогресс, достигнутый в индустрии блокчейна, участникам по-прежнему необходимо сохранять критичность, бдительность и объективность, не доверяя слепо приложениям и компаниям, занимающимся обеспечением безопасности.
“Реальный ответ на проблему безопасности web3 лежит далеко за пределами аудита как единой точки отказа - индустрии необходимо более широкое, комплексное решение проблем безопасности web3, и компания Certora стремится обеспечить эту более широкую картину. Уязвимости смарт-контрактов никуда не денутся, но мы можем поучиться у других отраслей, где сочетание технологий и менталитета "защита в глубину" позволило создать многоуровневый подход, который позволяет нам чувствовать себя в безопасности при взаимодействии в сети. То же самое можно и нужно применять и в web3 по мере развития отрасли.”
.Криптовалюты, вероятно, останутся, по крайней мере в обозримом будущем, диким западом финансов.
Но так же, как плохие игроки будут существовать, хорошие игроки служат противовесом. Такие охранные фирмы, как Certora, хотя и не гарантируют абсолютной безопасности, представляют собой, пожалуй, лучшую защиту от нечестной игры.
Читать подробнее о SolanaFloor
Почему Star Atlas нужен собственный Layer-1?
Здесь’все, что вы могли’пропустить из Star Atlas Summer
СоланаФлор беседует с генеральным директором Star Atlas Майклом Вагнером
