Là một nhà phân tích với hơn hai thập kỷ kinh nghiệm về an ninh mạng và công nghệ chuỗi khối, tôi thấy cách Solana xử lý một mối đe dọa bảo mật nghiêm trọng gần đây không có gì ấn tượng. Sự nhanh chóng, thận trọng và minh bạch được Solana Foundation và những người xác nhận của nó thể hiện là rất đáng khen ngợi.
Vào ngày 9 tháng 8, chuỗi khối Solana đã âm thầm giải quyết một rủi ro bảo mật đáng kể trong hệ thống của mình, triển khai bản sửa lỗi trên toàn bộ hệ sinh thái trước khi công bố rộng rãi. Biện pháp chủ động này, được thực hiện bởi người xác thực chính có tên Laine, đảm bảo rằng mạng vẫn an toàn trước sự thao túng tiềm ẩn của những người dùng độc hại, như ông tiết lộ sau đó.
Solana bí mật vá lỗ hổng bảo mật như thế nào
Vào ngày 7 tháng 8 năm 2024, với tư cách là nhà nghiên cứu của Quỹ Solana, tôi nhận thấy mình đang phải đối mặt với một vấn đề cấp bách. Chúng tôi đã xác định được một lỗ hổng nghiêm trọng cần được chú ý ngay lập tức. Thông tin liên lạc ban đầu về bản vá này đã được truyền tải một cách tinh vi đến những người xác thực mạng thông qua các tin nhắn riêng tư kín đáo từ những người liên hệ đáng tin cậy và đã được xác minh trong tổ chức của chúng tôi.
Những thông tin liên lạc này được mã hóa bằng hệ thống tin nhắn băm bao gồm mã nhận dạng riêng biệt cho sự cố và dấu thời gian. Thiết lập này cung cấp cho người xác thực một cách đáng tin cậy để xác nhận tính xác thực của tin nhắn. Hàm băm được chia sẻ công khai bởi các cá nhân nổi bật trên nhiều nền tảng khác nhau như Twitter, GitHub và LinkedIn, do đó tạo ra mức độ chứng thực của công chúng mà không tiết lộ thông tin cụ thể về lỗ hổng bảo mật.
Laine làm rõ rằng mặc dù thoạt nhìn câu hỏi có vẻ phức tạp nhưng thực ra nó khá đơn giản. Hầu hết những người xác thực đều tham gia vào Discord và nhiều nhóm Telegram. Họ cũng có thể được tìm thấy trên Twitter (X) và một số thậm chí có thể có kết nối cá nhân với nhân viên từ Anza hoặc The Foundation, giống như những người đã gặp trong Breakpoint. Mặc dù có thể mất một chút công sức nhưng việc gửi tin nhắn trực tiếp đến người xác nhận là có thể thực hiện được, đặc biệt khi bạn là thành viên của một nhóm gồm 5-8 cá nhân chủ chốt cộng tác trong hoạt động tiếp cận này.
Đến ngày 8 tháng 8, tổ chức đã chuẩn bị các hướng dẫn toàn diện cho người xác nhận. Những hướng dẫn này, được gửi chính xác vào lúc 14:00 UTC, chứa các liên kết để tải xuống bản vá từ kho lưu trữ GitHub do một kỹ sư có uy tín từ Anza xử lý. Hướng dẫn nêu chi tiết hơn về cách xác minh các tệp đã tải xuống bằng cách sử dụng số tiền SHA được cung cấp. Do đó, người xác thực có thể xem xét kỹ lưỡng các thay đổi theo cách thủ công, do đó ngăn người vận hành chạy mã chưa được xác minh mà không kiểm tra.
Như Laine đã nêu, tầm quan trọng của bản vá nằm ở khả năng phát hiện lỗ hổng, khiến hành động bí mật và ngay lập tức trở nên cần thiết. Trong vòng vài giờ kể từ lần liên hệ đầu tiên, một phần đáng kể của mạng đã cài đặt bản vá, nhanh chóng theo sau là một tỷ lệ thậm chí còn lớn hơn, đạt đến ngưỡng 70% được coi là quan trọng đối với bảo mật của mạng.
Sau khi đạt được số lượng nút được vá quan trọng, Solana Foundation đã chia sẻ công khai thông tin về lỗ hổng được phát hiện và các bước thực hiện để giải quyết lỗ hổng đó. Hành động này nhằm mục đích khuyến khích tất cả các nhà khai thác nút còn lại cập nhật hệ thống của họ và duy trì tính cởi mở trong cộng đồng lớn hơn bằng cách thông báo cho họ.
Laine tóm tắt: “Trong các hệ thống điện toán phức tạp như của chúng tôi, việc gặp phải các lỗ hổng là điều bình thường. Điều thực sự quan trọng là phản hồi. Việc vấn đề này được phát hiện, xử lý một cách an toàn và giải quyết nhanh chóng cho thấy công việc kỹ thuật chất lượng cao nhất quán thường không được chú ý.” bởi công chúng, bao gồm Anza, Foundation, Jump/Firedancer, Jito và tất cả các nhóm đóng góp quan trọng khác.”
Là một người tham gia dày dạn kinh nghiệm trong các mạng lưới phi tập trung khác nhau, tôi thường nhận thấy rằng thời điểm và sự cần thiết của việc liên lạc bí mật là những yếu tố quan trọng có thể ảnh hưởng đáng kể đến sự thành công hay thất bại của những dự án đó. Theo kinh nghiệm cá nhân của tôi, tôi đã gặp những trường hợp mà việc tiết lộ sớm có thể dẫn đến một quá trình chuyển đổi suôn sẻ hơn, trong khi việc tiết lộ chậm trễ sẽ gây ra những tranh cãi và nhầm lẫn không cần thiết.
Laine nhấn mạnh sự nguy hiểm, nói rằng nếu lỗ hổng được phát hiện trước khi bảo mật một phần quan trọng của mạng, kẻ tấn công có thể cố gắng hiểu và tận dụng nó để phá vỡ mạng trước khi đủ nút được cập nhật. Nói một cách đơn giản hơn, ông giải thích rằng việc tiết lộ bản vá có thể làm lộ rõ điểm yếu, cho phép kẻ tấn công giải mã lỗ hổng và có khả năng tạm dừng mạng trước khi có đủ người dùng nâng cấp hệ thống của họ.
Vào thời điểm viết bài, giá SOL không bị ảnh hưởng bởi tin tức này và được giao dịch ở mức 154 USD.
- Grayscale Bitcoin ETF cuối cùng cũng nhìn thấy dòng vốn vào: Liệu bây giờ BTC có vượt qua 70 nghìn đô la không?
- Cách kết nối Chuỗi thông minh BNB với MetaMask
- Phí bảo hiểm quỹ Ethereum tăng: Liệu nó có kích hoạt ATH cho ETH một lần nữa không?
- Tỷ lệ đốt Shiba Inu tăng vọt 300%
- Dự báo giá Ethereum: ETH sẽ đi về đâu sau khi ETF được phê duyệt?
- Đặt cược Bitcoin của Metaplanet tăng cổ phiếu lên 10%
- Haruko khai thác các ngăn xếp để mang dịch vụ tiền điện tử đến các nhà đầu tư tổ chức
- Ngân hàng Commonwealth bổ sung ETF BTC đơn sắc vào các dịch vụ đầu tư
- Tác phẩm nghệ thuật mới nhất của Beeple có Andrew Tate và Iggy Azalea
- Dự đoán giá Dogecoin – Hãy chú ý đến những mục tiêu ngắn hạn này!
2024-08-10 04:11