Come rivelato il 9 agosto, la blockchain di Solana ha mitigato una sostanziale minaccia alla sicurezza attraverso una patch silenziosa applicata al suo ecosistema. Questa azione è stata avviata e completata prima che venisse fatta una divulgazione pubblica, salvaguardando la rete dal potenziale sfruttamento da parte di attori malintenzionati, come da divulgazione di Laine, un importante validatore di Solana.
Come Solana ha riparato segretamente la falla di sicurezza
La saga è iniziata il 7 agosto 2024, quando i membri principali della Solana Foundation hanno identificato e si sono attivati per affrontare una vulnerabilità critica. La prima comunicazione sull'imminente patch è stata consegnata in modo criptico ai validatori della rete tramite messaggi privati da contatti noti e verificati all'interno della Fondazione Solana.
Questi messaggi sono stati protetti con un messaggio con hash che conteneva un identificatore univoco dell'incidente e un timestamp, fornendo ai validatori un mezzo verificabile per fidarsi dell'autenticità della comunicazione. L'hash è stato pubblicato pubblicamente da personaggi importanti su più piattaforme tra cui Twitter/X, GitHub e LinkedIn, stabilendo un livello di riconoscimento pubblico senza rivelare dettagli specifici sulla vulnerabilità.
“Questa domanda è sorta ma non è poi così complicata. La maggior parte dei validatori sono attivi su Discord, molti sono attivi anche in vari gruppi Telegram, interagiamo su Twitter/X e potremmo anche conoscere personalmente i dipendenti di Anza o Foundation di Breakpoint ecc. È noioso ma non difficile mandare messaggi ai validatori per trasmettere tali messaggi , soprattutto con un gruppo di 5-8 persone principali che partecipano a questa attività di sensibilizzazione", ha spiegato Laine.
Entro l’8 agosto, la fondazione aveva già pronte istruzioni dettagliate per i validatori. Queste istruzioni, inviate precisamente alle 14:00 UTC, includevano i collegamenti per scaricare la patch da un repository GitHub gestito da un ingegnere riconosciuto di Anza. Di conseguenza, ai validatori è stato spiegato come verificare i file scaricati utilizzando le somme SHA fornite. Pertanto, sono stati in grado di ispezionare manualmente le modifiche. Ciò garantiva che gli operatori non eseguissero ciecamente codice non verificato.
Secondo Laine, la patch era fondamentale perché “la patch stessa rivela la vulnerabilità”, richiedendo un’azione rapida e discreta. Nel giro di poche ore dall'intervento iniziale, una “superminoranza” della rete aveva applicato la patch, seguita subito dopo da una “supermaggioranza”, raggiungendo la soglia del 70% ritenuta necessaria per la sicurezza della rete.
Una volta raggiunta la soglia critica dei nodi patchati, la Fondazione Solana ha reso pubblica la vulnerabilità e le azioni correttive intraprese. Ciò è stato fatto per sollecitare tutti gli operatori rimanenti ad aggiornare i propri sistemi e a mantenere la trasparenza con la comunità più ampia.
Laine ha concluso: “In definitiva questo è il genere di cose che accadono in un ambiente informatico complesso, l’esistenza di una vulnerabilità non è una preoccupazione ma la risposta conta, il fatto che questa sia stata rilevata e risolta in modo sicuro in modo tempestivo la dice lunga sulla situazione in corso”. sforzi ingegneristici di alta qualità che spesso non sono visibili al pubblico, da parte degli ingegneri di Anza e della Fondazione, ma anche degli ingegneri di Jump/Firedancer, Jito e di tutti gli altri team principali che contribuiscono."
Questo approccio ha scatenato discussioni all’interno della comunità, in particolare per quanto riguarda la necessità e la tempistica delle comunicazioni riservate nelle reti decentralizzate. Un utente chiamato @0xemon ha chiesto su X perché la divulgazione iniziale non sia stata fatta prima.
Laine ha risposto, sottolineando il rischio di potenziali exploit se la vulnerabilità fosse nota prima che una parte significativa della rete fosse protetta: "Poiché la patch stessa rende chiara la vulnerabilità , un utente malintenzionato potrebbe tentare di decodificare la vulnerabilità e fermare la rete prima di un tempo sufficiente". importo della quota incrementato."
Al momento della stesura di questo articolo, il prezzo del SOL non è stato colpito dalla notizia ed era scambiato a 154 dollari.
