Silent Fix: Solana จัดการกับข้อบกพร่องด้านความปลอดภัยที่สำคัญเบื้องหลังประตูที่ปิด

ในฐานะนักวิเคราะห์ที่มีประสบการณ์มากกว่าสองทศวรรษในด้านความปลอดภัยทางไซเบอร์และเทคโนโลยีบล็อกเชน ฉันพบว่าการจัดการภัยคุกคามความปลอดภัยที่สำคัญเมื่อเร็วๆ นี้ของ Solana นั้นน่าประทับใจเป็นอย่างยิ่ง ความรวดเร็ว ดุลยพินิจ และความโปร่งใสที่แสดงโดยมูลนิธิ Solana และผู้ตรวจสอบความถูกต้องนั้นน่ายกย่อง

เมื่อวันที่ 9 สิงหาคม บล็อกเชนของ Solana จัดการกับความเสี่ยงด้านความปลอดภัยที่สำคัญภายในระบบอย่างเงียบๆ โดยดำเนินการแก้ไขทั่วทั้งระบบนิเวศก่อนที่จะประกาศต่อสาธารณะ มาตรการเชิงรุกนี้ดำเนินการโดยผู้ตรวจสอบคีย์ชื่อ Laine ทำให้มั่นใจได้ว่าเครือข่ายยังคงปลอดภัยจากการถูกจัดการโดยผู้ใช้ที่เป็นอันตราย ตามที่เขาเปิดเผยในภายหลัง

โซลานาแอบแก้ไขข้อบกพร่องด้านความปลอดภัยอย่างไร

เมื่อวันที่ 7 สิงหาคม 2024 ในฐานะนักวิจัยในมูลนิธิโซลานา ฉันพบว่าตัวเองเป็นหัวใจสำคัญของเรื่องเร่งด่วน เราได้ระบุช่องโหว่ที่สำคัญซึ่งจำเป็นต้องได้รับการดูแลทันที การสื่อสารเบื้องต้นเกี่ยวกับแพตช์นี้ได้รับการถ่ายทอดอย่างละเอียดไปยังผู้ตรวจสอบเครือข่ายผ่านข้อความส่วนตัวที่รอบคอบจากผู้ติดต่อที่เชื่อถือได้และได้รับการยืนยันภายในมูลนิธิของเรา

การสื่อสารเหล่านี้ได้รับการเข้ารหัสโดยใช้ระบบข้อความแบบแฮชที่มีรหัสประจำตัวที่ชัดเจนสำหรับเหตุการณ์และการประทับเวลา การตั้งค่านี้ทำให้ผู้ตรวจสอบมีวิธีที่เชื่อถือได้ในการยืนยันความถูกต้องของข้อความ แฮชดังกล่าวถูกแชร์อย่างเปิดเผยโดยบุคคลสำคัญบนแพลตฟอร์มต่างๆ เช่น Twitter, GitHub และ LinkedIn ดังนั้นจึงสร้างระดับการรับรองสาธารณะโดยไม่เปิดเผยข้อมูลเฉพาะเกี่ยวกับช่องโหว่ดังกล่าว

Laine ชี้แจงว่าแม้คำถามอาจดูซับซ้อนเมื่อมองแวบแรก แต่จริงๆ แล้วค่อนข้างตรงไปตรงมา เครื่องมือตรวจสอบส่วนใหญ่มีส่วนร่วมใน Discord และกลุ่ม Telegram หลายกลุ่ม นอกจากนี้ยังสามารถพบได้บน Twitter (X) และบางคนอาจมีความสัมพันธ์ส่วนตัวกับพนักงานจาก Anza หรือ The Foundation เช่นเดียวกับที่พบในระหว่าง Breakpoint แม้ว่าอาจต้องใช้ความพยายามเล็กน้อย แต่การส่งข้อความโดยตรงไปยังผู้ตรวจสอบความถูกต้องก็สามารถทำได้ โดยเฉพาะอย่างยิ่งเมื่อคุณเป็นส่วนหนึ่งของทีมที่มีบุคคลสำคัญ 5-8 คนที่ร่วมมือกันในการขยายงานนี้

ภายในวันที่ 8 สิงหาคม มูลนิธิได้เตรียมแนวทางที่ครอบคลุมสำหรับผู้ตรวจสอบ แนวทางเหล่านี้ซึ่งส่งออกไปในเวลา 14:00 UTC มีลิงก์สำหรับดาวน์โหลดแพตช์จากพื้นที่เก็บข้อมูล GitHub ที่จัดการโดยวิศวกรที่มีชื่อเสียงจาก Anza คำแนะนำเพิ่มเติมให้รายละเอียดวิธีการตรวจสอบไฟล์ที่ดาวน์โหลดโดยใช้จำนวน SHA ที่ให้ไว้ เป็นผลให้ผู้ตรวจสอบความถูกต้องสามารถตรวจสอบการเปลี่ยนแปลงด้วยตนเองได้ จึงป้องกันไม่ให้ผู้ปฏิบัติงานเรียกใช้โค้ดที่ไม่ได้รับการยืนยันโดยไม่มีการตรวจสอบ

ตามที่ระบุไว้โดย Laine ความสำคัญของแพตช์อยู่ที่ความสามารถในการเปิดเผยช่องโหว่ ทำให้การดำเนินการในทันทีและเป็นความลับเป็นสิ่งจำเป็น ภายในไม่กี่ชั่วโมงของการติดต่อครั้งแรก เครือข่ายส่วนใหญ่ได้ติดตั้งแพตช์แล้ว ตามมาอย่างรวดเร็วด้วยสัดส่วนที่มากขึ้น โดยถึงเกณฑ์ 70% ซึ่งถือว่ามีความสำคัญอย่างยิ่งต่อความปลอดภัยของเครือข่าย

หลังจากที่โหนดที่ได้รับแพตช์ถึงจำนวนที่สำคัญแล้ว มูลนิธิ Solana Foundation ก็เปิดเผยข้อมูลอย่างเปิดเผยเกี่ยวกับช่องโหว่ที่ค้นพบและขั้นตอนในการแก้ไขปัญหาดังกล่าว การดำเนินการนี้มีจุดมุ่งหมายเพื่อสนับสนุนให้ผู้ดำเนินการโหนดที่เหลือทั้งหมดอัปเดตระบบของตนและรักษาความเปิดกว้างภายในชุมชนขนาดใหญ่โดยการแจ้งให้ทราบ

Laine สรุป: “ในระบบคอมพิวเตอร์ที่ซับซ้อนเช่นเรา การเผชิญกับช่องโหว่เป็นเรื่องปกติ สิ่งที่สำคัญที่สุดคือการตอบสนอง การที่ปัญหานี้ได้รับการตรวจพบ จัดการได้อย่างปลอดภัย และได้รับการแก้ไขอย่างรวดเร็ว แสดงให้เห็นงานวิศวกรรมคุณภาพสูงที่สม่ำเสมอซึ่งมักไม่มีใครสังเกตเห็น โดยสาธารณชน ซึ่งรวมถึง Anza, Foundation, Jump/Firedancer, Jito และทีมสนับสนุนหลักอื่นๆ ทั้งหมด”

ในฐานะผู้เข้าร่วมที่มีประสบการณ์ในเครือข่ายการกระจายอำนาจต่างๆ ฉันมักจะสังเกตเห็นว่าจังหวะเวลาและความจำเป็นของการสื่อสารที่เป็นความลับเป็นปัจจัยสำคัญที่อาจส่งผลกระทบอย่างมีนัยสำคัญต่อความสำเร็จหรือความล้มเหลวของโครงการดังกล่าว จากประสบการณ์ส่วนตัวของฉัน ฉันได้พบกรณีที่การเปิดเผยข้อมูลตั้งแต่เนิ่นๆ อาจนำไปสู่การเปลี่ยนแปลงที่ราบรื่นยิ่งขึ้น ในขณะที่การเปิดเผยล่าช้าได้ก่อให้เกิดความขัดแย้งและความสับสนโดยไม่จำเป็น

Laine เน้นย้ำถึงอันตราย โดยระบุว่าหากพบช่องโหว่ก่อนที่จะรักษาความปลอดภัยส่วนสำคัญของเครือข่าย ผู้โจมตีอาจพยายามทำความเข้าใจและใช้ประโยชน์จากช่องโหว่นั้นเพื่อขัดขวางเครือข่ายก่อนที่จะอัปเดตโหนดเพียงพอ เขาอธิบายว่าการเปิดเผยแพตช์อาจทำให้จุดอ่อนปรากฏชัดเจน ทำให้ผู้โจมตีสามารถถอดรหัสช่องโหว่ และอาจหยุดเครือข่ายก่อนที่ผู้ใช้จะอัพเกรดระบบได้เพียงพอ

ในเวลาปัจจุบัน ราคา SOL ไม่ได้รับผลกระทบจากข่าวและซื้อขายกันที่ 154 ดอลลาร์

Silent Fix: Solana จัดการกับข้อบกพร่องด้านความปลอดภัยที่สำคัญเบื้องหลังประตูที่ปิด

Sorry. No data so far.

2024-08-10 04:11