La Fondation Solana a annoncé le 7 avril le lancement d’un système d’évaluation et de surveillance de la sécurité STRIDE, ainsi que d’un réseau de réponse aux incidents SIRN. STRIDE procédera à une évaluation de sécurité indépendante de tous les protocoles DeFi au sein de l’écosystème et publiera les résultats, offrant une surveillance proactive des menaces 24 h/24 aux protocoles dont le TVL dépasse 10 millions de dollars ; SIRN, lui, se concentre sur la coordination de réponse immédiate en temps réel après la survenue d’un incident de sécurité.
STRIDE : un cadre en couches couvrant l’évaluation, la surveillance et la vérification formelle
(Source : Solana)
STRIDE (Solana Trust, Resilience and Infrastructure for DeFi Enterprises) s’appuie sur un cadre de huit piliers de sécurité élaboré par Asymmetric Research. Il procède à des évaluations indépendantes des protocoles de l’écosystème Solana, publie les résultats de manière transparente et permet aux utilisateurs et aux investisseurs de connaître l’état de sécurité des protocoles sur lesquels ils comptent.
Le classement des trois niveaux de protection de STRIDE
Couche d’évaluation de base (couverture de l’ensemble des protocoles) : tous les protocoles Solana font l’objet d’une évaluation de sécurité indépendante ; les résultats sont enregistrés et rendus publics pour que le grand public puisse les consulter
Couche de surveillance proactive (TVL supérieur à 10 millions de dollars) : assure une surveillance des menaces 24 h/24 ; l’intensité de la surveillance s’ajuste dynamiquement en fonction de la situation de risque de chaque protocole ; les fonds sont pris en charge par la Fondation Solana
Couche de vérification formelle (TVL supérieur à 100 millions de dollars) : au moyen de méthodes de preuve mathématique, elle balaie et vérifie toutes les voies d’exécution possibles des smart contracts, offrant la garantie de correction la plus stricte aux protocoles présentant le risque le plus élevé
La Fondation Solana souligne que cette conception en couches garantit que les ressources sont allouées aux protocoles présentant le risque le plus élevé, tout en établissant, pour l’ensemble de l’écosystème, des références de sécurité comparables et publiables.
SIRN : un réseau de réponse aux incidents en temps réel reposant sur la collaboration de cinq institutions
Le réseau de réponse aux incidents de Solana (SIRN) a été lancé officiellement le même jour. Il est ouvert à tous les protocoles Solana, et la priorité de réponse est classée selon l’ampleur du TVL. Les membres fondateurs de SIRN incluent Asymmetric Research, OtterSec, Neodyme, Squads et ZeroShadow. Chaque institution partagera les informations relatives aux menaces, coordonnera des actions de réponse immédiate et en temps réel aux incidents de sécurité, et fournira en continu des éléments pour faire évoluer le cadre d’évaluation STRIDE, afin de former un mécanisme de sécurité en boucle fermée entre évaluation et réponse.
La mission de SIRN consiste à compléter les fonctions préventives de STRIDE : lorsque des incidents de sécurité franchissent la barrière de prévention, il fournit une capacité opérationnelle de traitement coordonné multi-institutions.
Des bases de sécurité existantes et des ressources d’outils gratuits dans l’écosystème Solana
STRIDE et SIRN s’appuient sur l’accumulation de sécurité déjà présente dans l’écosystème Solana. Parmi les protocoles essentiels existants, Squads Multisig a déjà passé des vérifications formelles et terminé plus de 10 audits. Kamino a terminé 9 audits indépendants. Jupiter Lend a passé une vérification formelle et terminé 7 audits. Les protocoles de premier plan qui gèrent des milliards de dollars d’actifs ont accumulé, depuis de nombreuses années, des efforts en matière de construction de sécurité.
La Fondation Solana fournit également gratuitement des outils de sécurité à tous les projets de l’écosystème, notamment la détection de menaces au niveau des institutions de Hypernative (à partir de 2024-09), les alertes de risques en temps réel de Range Security (à partir de 2024-10), l’outil de simulation d’attaques Riverguard de Neodyme, l’outil d’analyse statique X-Ray de Sec3, ainsi que l’outil de modèles de sécurité Radar d’AuditWare. La Fondation Solana est également membre de Crypto Defenders Alliance, et participe à des collaborations intersectorielles de prévention de la fraude et de suivi des actifs volés.
La Fondation Solana précise également clairement que les ressources de sécurité ci-dessus ont pour but d’aider les protocoles à renforcer leur protection, et non de remplacer la responsabilité fondamentale des protocoles eux-mêmes en matière de sécurité. Pour les protocoles qui gèrent d’importantes quantités de fonds d’utilisateurs, des mesures de sécurité strictes constituent une obligation impérative.
FAQ
Quelle est la différence fondamentale entre STRIDE et SIRN ?
STRIDE se concentre sur l’évaluation de la sécurité et la surveillance proactive des menaces, et s’inscrit donc dans un cadre préventif ; SIRN se concentre sur la réponse immédiate et coordonnée multi-institutions après la survenue d’un incident de sécurité, et s’inscrit donc dans un mécanisme d’urgence. Ensemble, ils constituent un système de protection de sécurité à double voie pour l’écosystème Solana.
Quels protocoles peuvent bénéficier du service de surveillance proactive de STRIDE ?
Les protocoles dont le TVL dépasse 10 millions de dollars et qui ont passé l’évaluation bénéficieront d’un service de surveillance proactive des menaces 24 h/24 financé par la Fondation Solana ; plus le TVL est élevé, plus la couverture de surveillance sera stricte.
En quoi la vérification formelle diffère-t-elle des audits de sécurité généraux ?
Les audits de sécurité traditionnels reposent principalement sur une revue manuelle du code ; la vérification formelle utilise, elle, des méthodes de preuve mathématique pour examiner et vérifier exhaustivement tous les états d’exécution possibles des smart contracts. Elle permet de découvrir des cas limites que les audits généraux ont du mal à couvrir, et constitue à l’heure actuelle la méthode la plus rigoureuse de vérification de la correction des contrats.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
