Correção silenciosa: Solana resolve grande falha de segurança a portas fechadas

Oi pessoal! Você já cansou de viver na pobreza enquanto as criptomoedas estão curtindo uma vida de luxo? Então junte-se ao nosso canal @Crypnoticias no Telegram, onde compartilhamos notícias sobre criptomoedas em português - porque quem precisa de dinheiro de verdade quando você pode nadar em Dogecoins? Venha para o lado selvagem da especulação financeira, onde o único risco é perder tudo... ou ganhar um foguete para a lua! 😂💰🚀

Junte-se ao Telegram


Como analista com mais de duas décadas de experiência em segurança cibernética e tecnologia blockchain, considero o tratamento recente de Solana de uma ameaça crítica à segurança nada menos que impressionante. A rapidez, discrição e transparência demonstradas pela Fundação Solana e pelos seus validadores são louváveis.

Em 9 de agosto, o blockchain Solana abordou silenciosamente um risco de segurança significativo em seu sistema, implementando uma correção em todo o seu ecossistema antes de anunciá-la publicamente. Esta medida proativa, tomada por um validador de chaves chamado Laine, garantiu que a rede permanecesse segura contra possíveis manipulações por usuários mal-intencionados, como ele divulgou posteriormente.

Como Solana corrigiu secretamente a falha de segurança

No dia 7 de agosto de 2024, como pesquisador da Fundação Solana, me encontrei no centro de um assunto urgente. Havíamos identificado uma vulnerabilidade crítica que exigia atenção imediata. A comunicação inicial sobre esse patch foi transmitida sutilmente aos validadores de rede por meio de mensagens privadas discretas de contatos confiáveis ​​e verificados dentro de nossa fundação.

Essas comunicações foram criptografadas usando um sistema de mensagens com hash que incluía um código de identificação distinto para o incidente e um carimbo de data/hora. Essa configuração proporcionou aos validadores uma maneira confiável de confirmar a autenticidade das mensagens. O hash foi compartilhado abertamente por indivíduos proeminentes em diversas plataformas como Twitter, GitHub e LinkedIn, criando assim um nível de endosso público sem divulgar informações específicas sobre a vulnerabilidade.

Laine esclareceu que embora a questão possa parecer complexa à primeira vista, na verdade é bastante simples. A maioria dos validadores está envolvida no Discord e em vários grupos do Telegram. Eles também podem ser encontrados no Twitter (X), e alguns podem até ter conexões pessoais com funcionários da Anza ou da Fundação, como aqueles que conhecemos durante o Breakpoint. Embora possa exigir um pouco de esforço, é possível enviar mensagens diretas aos validadores, especialmente quando você faz parte de uma equipe de 5 a 8 pessoas-chave que colaboram nessa divulgação.

Até 8 de agosto, a fundação preparou diretrizes abrangentes para os validadores. Essas diretrizes, enviadas exatamente às 14h UTC, continham links para baixar um patch de um repositório GitHub gerenciado por um engenheiro respeitável da Anza. As instruções detalham mais detalhadamente como verificar os arquivos baixados usando as somas SHA fornecidas. Como resultado, os validadores puderam examinar manualmente as alterações, evitando assim que os operadores executassem códigos não verificados sem inspeção.

Conforme afirmado por Laine, a importância do patch reside na sua capacidade de expor a vulnerabilidade, tornando essencial uma ação imediata e secreta. Poucas horas após o contato inicial, uma parte considerável da rede já havia instalado o patch, seguida rapidamente por uma proporção ainda maior, atingindo o limite de 70% considerado crucial para a segurança da rede.

Depois de atingir o número crucial de nós corrigidos, a Fundação Solana compartilhou abertamente informações sobre a vulnerabilidade descoberta e as medidas tomadas para resolvê-la. Esta ação teve como objetivo incentivar todos os restantes operadores de nós a atualizarem os seus sistemas e a manterem a abertura dentro da comunidade em geral, mantendo-os informados.

Laine resumiu: “Em sistemas de computação complexos como o nosso, é comum encontrar vulnerabilidades. O que realmente importa é a resposta. O fato de esse problema ter sido detectado, tratado com segurança e resolvido rapidamente mostra o trabalho consistente de engenharia de alta qualidade que muitas vezes passa despercebido pelo público. Isso inclui Anza, Foundation, Jump/Firedancer, Jito e todas as outras equipes contribuintes importantes.”

Como participante experiente em diversas redes descentralizadas, observei frequentemente que o momento e a necessidade de comunicações confidenciais são factores cruciais que podem ter um impacto significativo no sucesso ou no fracasso de tais projectos. Na minha experiência pessoal, deparei-me com casos em que a divulgação antecipada poderia ter levado a uma transição mais suave, enquanto a divulgação atrasada gerou controvérsia e confusão desnecessárias.

Laine ressaltou o perigo, afirmando que se a vulnerabilidade fosse descoberta antes de proteger uma parte substancial da rede, um invasor poderia tentar entendê-la e aproveitá-la para interromper a rede antes que nós suficientes fossem atualizados. Em termos mais simples, ele explicou que revelar o patch poderia tornar a fraqueza aparente, permitindo que um invasor decifrasse a vulnerabilidade e potencialmente interrompesse a rede antes que um número suficiente de usuários atualizassem seus sistemas.

Até o momento, o preço do SOL não foi afetado pelas notícias e foi negociado a US$ 154.

Correção silenciosa: Solana resolve grande falha de segurança a portas fechadas

2024-08-10 04:11