Solana устраняет серьезную уязвимость безопасности за дверьми
Как было объявлено 9 августа, скрытое исправление в блокчейне Solana устранило серьезную проблему безопасности. Лейн, известный валидатор Solana, сказал, что эта деятельность была начата и завершена до публичного разоблачения, защищая сеть от враждебных субъектов.
7 августа 2024 года лидеры Solana Foundation обнаружили и устранили ключевую уязвимость, положив начало истории. Валидаторы сети получили первое объявление об исправлении через личные сообщения от подтвержденных контактов Solana Foundation.
Валидаторы могли доверять этим сообщениям, поскольку они были хэшированы с идентификацией инцидента и временной меткой. Известные личности поделились хэшем в Twitter/X, GitHub и LinkedIn, чтобы признать уязвимость, не предоставляя никакой информации.
Несмотря на его простоту, этот вопрос возник. Большинство валидаторов используют Discord, Telegram, Twitter/X и могут знать сотрудников Anza или Foundation по Breakpoint. Лейн сказал, что для валидаторов DM утомительно, но не невозможно распространять такие сообщения, особенно когда в этой работе задействовано 5-8 ключевых лиц.
Фонд предоставил валидаторам конкретные инструкции к 8 августа. Ровно в 14:00 UTC эти инструкции содержали ссылки для загрузки исправления из репозитория GitHub, принадлежащего инженеру Anza. Таким образом, валидаторам было сказано проверять загруженные файлы с помощью сумм SHA. Поэтому они могли вручную проверять корректировки. Это не позволяло операторам выполнять непроверенный код.
Лейн сказал, что исправление имело решающее значение, поскольку «сам патч раскрывает уязвимость», требуя быстрых и скрытных действий. «Сверхбольшинство» сети внедрило исправление в течение нескольких часов после первой рассылки, за которым последовало «сверхбольшинство», что соответствовало критерию безопасности в 70%.
После достижения критического уровня исправленных узлов Фонд Соланы раскрыл уязвимость и усилия по ее исправлению. Это было сделано для того, чтобы побудить существующих операторов улучшить свои системы и обеспечить открытость сообщества.
