Как стало известно 9 августа, Solana Блокчейн смягчил существенную угрозу безопасности посредством скрытого патча, примененного по всей его экосистеме. Это действие было инициировано и завершено до публичного раскрытия информации, что защитило сеть от потенциальной эксплуатации злоумышленниками, согласно раскрытие информации Лайне, выдающийся Solana валидатор.
Как Solana Тайно исправлена уязвимость безопасности
Сага началась 7 августа 2024 года, когда Solana Основные члены Фонда выявили и предприняли действия по устранению критической уязвимости. Первое сообщение о предстоящем патче было криптографически доставлено сетевым валидаторам через личные сообщения от известных и проверенных контактов в Solana Фундамент.
Эти сообщения были защищены хэшированным сообщением, которое содержало уникальный идентификатор инцидента и временную метку, предоставляя валидаторам проверяемые средства для доверия подлинности сообщения. Хэш был публично опубликован известными фигурами на нескольких платформах, включая Twitter/X, GitHub и LinkedIn, создав уровень публичного признания без раскрытия конкретных подробностей об уязвимости.
«Этот вопрос возник, но на самом деле он не такой уж и сложный. Большинство валидаторов активны в Discord, многие также активны в различных группах Telegram, мы взаимодействуем на Twitter/X и, возможно, даже лично знакомы с сотрудниками Anza или Foundation из Breakpoint и т. д. «Это утомительно, но несложно — отправлять валидаторам личные сообщения, чтобы передавать такие сообщения, особенно когда в этой работе участвует группа из 5–8 основных людей», — объяснил Лейн.
К 8 августа фонд подготовил подробные инструкции для валидаторов. Эти инструкции, отправленные ровно в 14:00 UTC, включали ссылки для загрузки патча из репозитория GitHub, которым управлял признанный инженер из Anza. Соответственно, валидаторы были проинструктированы о том, как проверять загруженные файлы с помощью предоставленных сумм SHA. Таким образом, они могли вручную проверять изменения. Это гарантировало, что операторы не будут слепо запускать непроверенный код.
По словам Лэйна, патч был критически важным, поскольку «сам патч раскрывает уязвимость», что требует быстрых и осторожных действий. В течение нескольких часов после первоначального распространения «сверхменьшинство» сети применило патч, за которым быстро последовало «сверхбольшинство», достигнув порога в 70%, который считался необходимым для безопасности сети.
После того, как был достигнут критический порог исправленных узлов, Solana Фонд публично раскрыл уязвимость и предпринятые меры по ее устранению. Это было сделано для того, чтобы призвать всех оставшихся операторов обновить свои системы и сохранить прозрачность для более широкого сообщества.
Лейн подвел итог: «В конечном итоге, это то, что происходит в сложной вычислительной среде. Наличие уязвимости не вызывает беспокойства, но важен ответ. Тот факт, что эта уязвимость была обнаружена и своевременно устранена, красноречиво свидетельствует о продолжающихся высококачественных инженерных усилиях, которые часто не видны общественности, со стороны инженеров Anza и Foundation, а также инженеров Jump/Firedancer, Jito и всех других основных команд, вносящих вклад».
Такой подход вызвал дискуссии в сообществе, особенно относительно необходимости и сроков конфиденциальных коммуникаций в децентрализованных сетях. Пользователь под именем @0xemon спросил на X, почему первоначальное раскрытие не было сделано раньше.
Лейн ответил, подчеркнув риск потенциальных эксплойтов, если уязвимость станет известна до того, как будет защищена значительная часть сети: «Потому что сам патч делает уязвимость очевидной, поэтому злоумышленник может попытаться провести обратную разработку уязвимости и остановить сеть до того, как будет обновлено достаточное количество пакетов».
На момент публикации SOL Цена не отреагировала на эту новость и торговалась на уровне $154.
