Zoals onthuld op 9 augustus, heeft de Solana-blockchain een substantiële beveiligingsdreiging verzacht door een stille patch die over het hele ecosysteem is toegepast. Deze actie werd gestart en voltooid voordat er een openbare bekendmaking werd gedaan, waarmee het netwerk werd beschermd tegen mogelijke exploitatie door kwaadwillende actoren, volgens de bekendmaking van Laine, een prominente Solana-validator.
Hoe Solana in het geheim het beveiligingslek heeft gepatcht
De saga begon op 7 augustus 2024, toen de kernleden van de Solana Foundation een kritieke kwetsbaarheid identificeerden en aanpakten. De eerste communicatie over de naderende patch werd cryptisch geleverd aan netwerkvalidators via privéberichten van bekende en geverifieerde contactpersonen binnen de Solana Foundation.
Deze berichten werden beveiligd met een gehasht bericht dat een unieke identificatie van het incident en een tijdstempel bevatte, waardoor validators een verifieerbaar middel kregen om de authenticiteit van de communicatie te vertrouwen. De hash werd openbaar gepost door bekende figuren op meerdere platforms, waaronder Twitter/X, GitHub en LinkedIn, waardoor een laag van openbare erkenning werd gecreëerd zonder specifieke details over de kwetsbaarheid te onthullen.
“Deze vraag is gesteld, maar het is eigenlijk niet zo ingewikkeld. De meeste validators zijn actief op Discord, velen zijn ook actief in verschillende Telegram-groepen, we communiceren op Twitter/X en kennen misschien zelfs Anza- of Foundation-medewerkers persoonlijk van Breakpoint etc. Het is vervelend maar niet moeilijk om validators te DM’en om dergelijke berichten door te geven, vooral met een groep van 5-8 kernmensen die allemaal deelnemen aan deze outreach,” legde Laine uit.
Op 8 augustus had de stichting gedetailleerde instructies klaar voor validators. Deze instructies, die precies om 14:00 UTC werden verzonden, bevatten links om de patch te downloaden van een GitHub-repository die werd beheerd door een erkende engineer van Anza. Vervolgens kregen validators instructies over hoe ze de gedownloade bestanden konden verifiëren met behulp van de verstrekte SHA-sommen. Zo konden ze de wijzigingen handmatig inspecteren. Dit zorgde ervoor dat operators niet blindelings ongeverifieerde code draaiden.
Volgens Laine was de patch cruciaal omdat “de patch zelf de kwetsbaarheid openbaart”, wat snelle en discrete actie noodzakelijk maakt. Binnen enkele uren na de eerste outreach had een “superminority” van het netwerk de patch toegepast, snel gevolgd door een “supermajority”, die de drempel van 70% bereikte die nodig werd geacht voor de beveiliging van het netwerk.
Zodra de kritische drempel van gepatchte nodes was bereikt, maakte de Solana Foundation de kwetsbaarheid en de genomen herstelmaatregelen openbaar. Dit werd gedaan om alle resterende operators aan te sporen hun systemen te updaten en transparantie te behouden met de bredere community.
Laine concludeerde: “Uiteindelijk is dit het soort ding dat gebeurt in een complexe computeromgeving, het bestaan van een kwetsbaarheid is geen zorg, maar de reactie is van belang, het feit dat dit tijdig werd opgemerkt en veilig werd opgelost, spreekt boekdelen over de voortdurende hoogwaardige technische inspanningen die vaak niet zichtbaar zijn voor het publiek, door Anza- en Foundation-ingenieurs, maar ook ingenieurs bij Jump/Firedancer, Jito en alle andere belangrijke bijdragende teams.”
Deze aanpak leidde tot discussies binnen de community, met name over de noodzaak en timing van vertrouwelijke communicatie in gedecentraliseerde netwerken. Een gebruiker genaamd @0xemon vroeg op X waarom de eerste openbaarmaking niet eerder was gedaan.
Laine reageerde door de nadruk te leggen op het risico van mogelijke exploits als de kwetsbaarheid bekend zou zijn voordat een aanzienlijk deel van het netwerk beveiligd was: “Omdat de patch zelf de kwetsbaarheid duidelijk maakt, zodat een aanvaller zou kunnen proberen de kwetsbaarheid te reverse engineeren en het netwerk te stoppen voordat een voldoende hoeveelheid stake is geüpgraded.”
Op het moment dat dit artikel naar de drukker ging, was de SOL-koers nog niet bekend en stond deze op $ 154.
Hoofdafbeelding van ONE37pm, grafiek van TradingView.com
