索拉納(Solana)基金會推 STRIDE 安全評估框架與事故應變網路　重建 DeFi 信任、以 TVL 分級強化風險控管

根據 The Block 的報導，於 4 日（當地時間），*索拉納(Solana)* 基金會宣布導入全新的「*STRIDE*」*安全評估框架*，試圖在近期大型駭客攻擊事件後，為整體 *去中心化金融(DeFi)* 生態系重建「信任」與「安全」基準。此舉被視為對 4 月 1 日發生、造成約 2 億 8,600 萬美元損失的 *Drift Protocol* 攻擊事件的直接回應。

本次推出的 *STRIDE*（Solana Trust, Resilience and Infrastructure for DeFi Enterprises），由索拉納基金會與區塊鏈安全公司 *Asymmetric Research* 共同開發，定位為一套「*持續性安全評估系統*」，專門針對建立在索拉納鏈上的 *DeFi 協議* 進行長期風險監測與公開評級，而非一次性的程式碼審計。

*評論*：在短短 5 天內就拿出完整框架，顯示基金會對近期安全風險的壓力與重視，也反映出索拉納生態系希望加速建立「可量化的安全標準」來安撫市場與用戶。

STRIDE 的核心在於「*常態化安全評分*」，而不是只做一次「審計報告」就結案。Asymmetric Research 會依據 8 大指標，對各個 *DeFi 協議* 進行結構化評估，涵蓋「*營運安全*」、「*權限與存取控制*」、「*多重簽章(Multisig) 設定*」、「*治理機制弱點*」等多個面向，並將最終結果公開上鏈或置於開放資料庫，供使用者、流動性提供者與機構投資人檢視。

相較於傳統 *智慧合約審計* 多半只在特定版本的程式碼上進行檢查，且審計報告一經發佈便不再更新，*STRIDE* 嘗試將「*協議版本更新*」與「*威脅環境變化*」納入長期追蹤範圍，定期刷新安全等級。這意味著，當協議進行重大升級、治理結構調整或外部攻擊手法出現新變化時，相關風險評分也會被同步調整，用戶看到的不再是「過去的安全快照」，而是更接近「*當前實況*」的風險狀態。

*評論*：對資金體量較大的 *DeFi* 使用者與機構而言，「過期的審計報告」早已難以作為風險決策依據，STRIDE 若能維持評級更新頻率，將有機會成為衡量協議風險的「參考標準」。

在誘因設計上，*STRIDE* 將「*總鎖倉量(TVL)*」作為分級門檻，提供差異化的安全工具與資源，試圖推動協議「主動投資安全」：

一方面，*TVL* 達 1,000 萬美元（約新台幣 150 億元）以上、並通過 STRIDE 評估的協議，可由索拉納基金會補貼成本，獲得「*24 小時威脅監控*」服務。這對多數仍處於成長期、資源有限的中小型專案而言，相當於免費取得一套原本難以負擔的營運級安全監控系統。

另一方面，當協議 *TVL* 超過 1 億美元（約新台幣 1,500 億元）時，STRIDE 則會提供「*形式化驗證(Formal Verification)*」工具，透過數學方法檢驗智慧合約所有可能的執行情境，而不僅止於手動測試或部分情境模擬。這一級別的專案通常被視為「*系統性風險來源*」，一旦出現漏洞，可能對整個索拉納 *DeFi* 生態產生連鎖衝擊，因此強化這一區間的安全性，被視為防範「黑天鵝事件」的重要一環。

*評論*：用 *TVL* 分級，等於承認「資金體量越大，系統風險越高」。對協議團隊來說，安全表現將不只是「品牌形象」，而會直接影響是否能取得基金會補助與進階工具。

與 *STRIDE* 同步啟動的，還包括「*索拉納事故應變網路(Solana Incident Response Network, SIRN)*」。這個網路由 5 家專業安全團隊共同組成，包含 *Asymmetric Research*、*OtterSec*、*Neodyme*、*Squads* 與 *Zeroshadow* 等，在鏈上攻擊事件發生時，負責情報共享與協調式應變。

*SIRN* 的運作模式，是在平時集中整理威脅情資、發現潛在攻擊向量，並在實際攻擊或異常行為出現時，依據各協議的 *TVL* 與預估損失規模，決定「*優先處理順序*」。其營運成本由索拉納基金會全額負擔，協議方則可免費參與，不需額外支付費用即可接入這套「*聯合應變網路*」。

*評論*：這種集中化的事故處理機制，有助縮短從「攻擊發生」到「啟動防禦或損失控管」的時間差，不過也可能引發社群對「誰決定優先順序」、「資源是否向頭部協議過度傾斜」等爭議。

在此之前，索拉納 *DeFi* 生態中已存在多種安全工具與服務，例如 *Hypernative*、*Range Security*、*Riverguard*、以及 *Sec3 X-Ray* 等，分別針對鏈上監控、威脅偵測與協議審計提供不同解決方案。然而，市場長期缺乏一套「*統一且可比較的評量標準*」，讓一般使用者與機構投資人難以橫向衡量不同協議的風險高低。

*STRIDE* 嘗試把這些分散的安全工具與服務「*拉回到同一把尺上*」，為整個生態系建立一套通用的風險評級框架。值得注意的是，目前版本仍標示為「*STRIDE 0.1*」，屬於早期階段。隨著攻擊手法不斷演化，包括閃電貸攻擊變形、跨鏈橋弱點、治理攻擊與私鑰管理問題等，這套框架能否持續更新並保持有效性，仍有待觀察。

市場普遍認為，未來幾個關鍵觀察指標包括：*STRIDE* 公佈的首波評級結果、重大協議是否主動加入評估、以及 *SIRN* 在實際攻擊事件中的應變表現與損失控管成效。這些具體案例，將左右社群對該框架「*是不是只是公關工具*」或「*真正有用的安全標準*」的判斷。

總體來看，索拉納 *DeFi* 生態透過 *STRIDE* 與 *SIRN* 的引入，確實為「*信任重建*」打下制度性基礎，尤其在大型攻擊事件後，對於安撫用戶與機構信心具有一定象徵與實質意義。不過，僅靠評級框架與事故網路，仍難以完全避免未來的安全事件爆發。

從長期來看，市場最終將以「實際事故數量是否下降」、「單次攻擊平均損失是否減少」、「安全監控是否能提前發現並阻止攻擊」等具體成績，來評估 *STRIDE* 與 *SIRN* 的真實價值，而非只看宣告與文件。

*評論*：若 STRIDE 能被多數主流協議採用，並與其他鏈或多鏈安全標準互通，未來不排除成為跨鏈 *DeFi* 安全評級的參考模板。反之，若參與度不足或更新頻率不佳，最終可能被市場視為又一個「形式大於實質」的安全標章。