Тихое исправление: Солана устраняет серьезный недостаток безопасности за закрытыми дверями
Как аналитик с более чем двадцатилетним опытом работы в области кибербезопасности и технологии блокчейна, я считаю, что недавнее решение Соланой критической угрозы безопасности просто впечатляет. Быстрота, конфиденциальность и прозрачность, продемонстрированные Фондом Солана и его валидаторами, заслуживают похвалы.
9 августа блокчейн Solana незаметно устранил значительную угрозу безопасности в своей системе, внедрив исправление во всей своей экосистеме, прежде чем публично объявить об этом. Эта упреждающая мера, предпринятая валидатором ключей по имени Лэйн, гарантировала, что сеть останется защищенной от потенциальных манипуляций со стороны злоумышленников, как он позже сообщил.
Как Солана тайно исправила брешь в безопасности
7 августа 2024 года, будучи исследователем Фонда Солана, я оказался в центре неотложного дела. Мы выявили критическую уязвимость, требующую немедленного внимания. Первоначальное сообщение об этом патче было незаметно передано сетевым валидаторам через конфиденциальные личные сообщения от доверенных и проверенных контактов в нашем фонде.
Эти сообщения были зашифрованы с использованием системы хешированных сообщений, которая включала отдельный идентификационный код инцидента и отметку времени. Эта настройка дала валидаторам надежный способ подтвердить подлинность сообщений. Хэш был открыто распространен известными людьми на различных платформах, таких как Twitter, GitHub и LinkedIn, что создало уровень общественного одобрения без раскрытия конкретной информации об уязвимости.
Лайне пояснила, что, хотя на первый взгляд вопрос может показаться сложным, на самом деле он довольно прост. Большинство валидаторов задействованы в Discord и нескольких группах Telegram. Их также можно найти в Твиттере (X), а некоторые могут даже иметь личные связи с сотрудниками Анзы или Фонда, как те, которые встретились во время Breakpoint. Хотя это может потребовать некоторых усилий, отправка прямых сообщений валидаторам вполне осуществима, особенно если вы являетесь частью команды из 5–8 ключевых людей, сотрудничающих в этой работе.
К 8 августа фонд подготовил исчерпывающие рекомендации для валидаторов. Эти рекомендации, разосланные ровно в 14:00 UTC, содержали ссылки для загрузки патча из репозитория GitHub, которым руководил уважаемый инженер из Anza. В инструкциях подробно описано, как проверить загруженные файлы, используя предоставленные суммы SHA. В результате валидаторы получили возможность вручную проверять изменения, что не позволяло операторам запускать непроверенный код без проверки.
Как заявил Лэйн, важность патча заключается в его способности выявить уязвимость, что делает необходимыми немедленные и тайные действия. Через несколько часов после первого контакта значительная часть сети уже установила патч, за которым вскоре последовала еще большая часть, достигнув порога в 70%, который считается решающим для безопасности сети.
Достигнув критического числа исправленных узлов, Solana Foundation открыто поделилась информацией об обнаруженной уязвимости и шагах, предпринятых для ее устранения. Это действие было направлено на то, чтобы побудить всех оставшихся операторов узлов обновить свои системы и поддерживать открытость внутри более широкого сообщества, информируя их.
Лайн резюмировал: «В таких сложных компьютерных системах, как наша, обычно встречаются уязвимости. Что действительно важно, так это реакция. Тот факт, что эта проблема была обнаружена, безопасно устранена и быстро решена, демонстрирует последовательную высококачественную инженерную работу, которая часто остается незамеченной. публикой, включая Anza, Foundation, Jump/Firedancer, Jito и все другие ключевые команды».
Как опытный участник различных децентрализованных сетей, я часто замечал, что время и необходимость конфиденциального общения являются решающими факторами, которые могут существенно повлиять на успех или провал таких проектов. По моему личному опыту я сталкивался со случаями, когда раннее раскрытие могло бы привести к более плавному переходу, в то время как отсроченное раскрытие информации вызывало ненужные споры и путаницу.
Лейн подчеркнул опасность, заявив, что, если уязвимость будет обнаружена до того, как будет обеспечена безопасность значительной части сети, злоумышленник может попытаться понять и использовать ее, чтобы нарушить работу сети до того, как будет обновлено достаточное количество узлов. Проще говоря, он объяснил, что раскрытие патча может сделать уязвимость очевидной, позволяя злоумышленнику расшифровать уязвимость и потенциально остановить работу сети до того, как достаточное количество пользователей обновят свои системы.
На момент публикации цена SOL не была освещена новостями и торговалась на уровне 154 долларов.
Смотрите также
- Золото прогноз
- Анализ цен на криптовалюту PUPS: прогнозы PUPS•WORLD•PEACE
- Анализ цен на криптовалюту FORT: прогнозы Forta
- Анализ цен на криптовалюту STRK: прогнозы Starknet
- Курс доллара к шекелю прогноз
- Курс фунта к швейцарскому франку прогноз
- Анализ цен на криптовалюту APT: прогнозы Aptos
- Анализ цен на криптовалюту BTC: прогнозы биткоина
- Анализ цен на криптовалюту DOGE: прогнозы Dogecoin к рублю
- Анализ цен на криптовалюту DOGE: прогнозы Dogecoin
2024-08-10 04:11