Разработчики, валидаторы и команды клиентов Solana устранили критическую уязвимость сети с помощью скоординированного обновления.
Anatomy of a patch
— Laine ❤️ stakewiz.com (@laine_sa_) August 9, 2024
In the past few hours a critical security vulnerability and patch were disclosed on Solana, this public disclosure occured after a supermajority of stake had already been patched to protect the network. Let's look at how this process unfolded and how 70% of…
Процесс начался 7 августа, когда специалисты Solana Foundation связались с крупными операторами сети по частным каналам. Контакты были необходимы для сохранения исправления в тайне, чтобы уязвимостью не смогли воспользоваться злоумышленники.
В течение последующих 24 часов вовлеченные стороны должны были подтвердить готовность к апдейту и соблюдение конфиденциальности.
8 августа в 14:00 UTC операторы получили еще одно сообщение от Solana Foundation. Оно содержало инструкции по загрузке, проверке и применению исправления. Сам патч разместили в репозитарии на GitHub известного инженера из проекта Anza.
Затем в течение нескольких часов заинтересованным сторонам удалось обновлением защитить «супербольшинство» сети в 66,6%. Публично уязвимость раскрыли после внедрения патча 70% с призывом ко всем оставшимся операторам обновиться.
«Тот факт, что проблему обнаружили и своевременно устранили, красноречиво свидетельствует о высокопрофессиональных инженерных усилиях, которые зачастую не видны сообществу, со стороны специалистов Anza, Solana Foundation, Jump/Firedancer, Jito и других ключевых команд», — отметили в компании Laine, одном из валидаторов сети.
Напомним, в апреле разработчики Solana обновили ПО в рамках мер по борьбе с загруженностью блокчейна, приводящей к задержкам транзакций.