Siber güvenlik ve blockchain teknolojisinde yirmi yıldan fazla deneyime sahip bir analist olarak Solana’nın son zamanlarda kritik bir güvenlik tehdidini ele almasını etkileyici buluyorum. Solana Vakfı ve doğrulayıcılarının gösterdiği hız, sağduyu ve şeffaflık takdire şayandır.
9 Ağustos’ta Solana blok zinciri, sistemindeki önemli bir güvenlik riskini sessizce ele aldı ve bunu kamuya duyurmadan önce tüm ekosisteminde bir düzeltme uyguladı. Laine adındaki önemli bir doğrulayıcı tarafından alınan bu proaktif önlem, kendisinin daha sonra açıklayacağı gibi, ağın kötü niyetli kullanıcılar tarafından yapılabilecek olası manipülasyonlara karşı güvende kalmasını sağladı.
Solana Güvenlik Kusurunu Gizlice Nasıl Yamaladı?
7 Ağustos 2024’te Solana Vakfı’nda araştırmacı olarak kendimi acil bir konunun tam ortasında buldum. Acil müdahale gerektiren kritik bir güvenlik açığı tespit etmiştik. Bu yamayla ilgili ilk iletişim, vakfımız içindeki güvenilir ve doğrulanmış kişilerden gelen gizli özel mesajlar yoluyla ağ doğrulayıcılarına ustaca iletildi.
Bu iletişimler, olay için farklı bir tanımlama kodu ve bir zaman damgası içeren karma bir mesaj sistemi kullanılarak şifrelendi. Bu kurulum, doğrulayıcılara mesajların orijinalliğini doğrulamak için güvenilir bir yol sağladı. Hash, önde gelen kişiler tarafından Twitter, GitHub ve LinkedIn gibi çeşitli platformlarda açıkça paylaşıldı ve böylece güvenlik açığıyla ilgili belirli bilgiler ifşa edilmeden bir düzeyde kamuoyu onayı oluşturuldu.
Laine, sorunun ilk bakışta karmaşık görünse de aslında oldukça basit olduğunu açıkladı. Doğrulayıcıların çoğu Discord ve birden fazla Telegram grubuyla ilgileniyor. Ayrıca Twitter’da (X) da bulunabilirler ve hatta bazılarının, Breakpoint sırasında tanışılanlar gibi Anza veya The Foundation çalışanlarıyla kişisel bağlantıları bile olabilir. Biraz çaba gerektirse de, özellikle bu sosyal yardım konusunda işbirliği yapan 5-8 kilit kişiden oluşan bir ekibin parçası olduğunuzda, doğrulayıcılara doğrudan mesaj göndermek mümkündür.
Vakıf, 8 Ağustos itibarıyla doğrulayıcılar için kapsamlı yönergeler hazırladı. Tam olarak 14:00 UTC’de gönderilen bu yönergeler, Anza’dan saygın bir mühendis tarafından yönetilen GitHub deposundan bir yama indirmek için bağlantılar içeriyordu. Talimatlarda, sağlanan SHA toplamlarını kullanarak indirilen dosyaların nasıl doğrulanacağı ayrıntılı olarak açıklanmıştır. Sonuç olarak, doğrulayıcılar değişiklikleri manuel olarak inceleyebildi ve böylece operatörlerin doğrulanmamış kodu incelemeden çalıştırması önlendi.
Laine’in belirttiği gibi, yamanın önemi, güvenlik açığını açığa çıkararak acil ve gizli eylemi zorunlu kılma yeteneğinde yatıyordu. İlk temastan birkaç saat sonra, ağın önemli bir kısmı yamayı yüklemiş, bunu hızla daha da büyük bir oran izlemiş ve ağın güvenliği için hayati önem taşıyan %70 eşiğine ulaşmıştı.
Önemli sayıda yamalı düğüme ulaştıktan sonra Solana Vakfı, keşfedilen güvenlik açığı ve bu güvenlik açığını gidermek için atılan adımlar hakkındaki bilgileri açıkça paylaştı. Bu eylemin amacı, geri kalan tüm düğüm operatörlerini sistemlerini güncellemeye ve daha geniş topluluk içinde açıklığı korumaya teşvik ederek onları bilgilendirmektir.
Laine özetledi: “Bizimki gibi karmaşık bilgi işlem sistemlerinde güvenlik açıklarıyla karşılaşmak normaldir. Asıl önemli olan tepkidir. Bu sorunun tespit edilmesi, güvenli bir şekilde ele alınması ve hızlı bir şekilde çözülmesi gerçeği, çoğu zaman fark edilmeyen tutarlı, yüksek kaliteli mühendislik çalışmasının göstergesidir. Buna Anza, Foundation, Jump/Firedancer, Jito ve katkıda bulunan diğer tüm ekipler dahildir.”
Çeşitli merkezi olmayan ağların deneyimli bir katılımcısı olarak, gizli iletişimin zamanlamasının ve gerekliliğinin bu tür projelerin başarısını veya başarısızlığını önemli ölçüde etkileyebilecek önemli faktörler olduğunu sıklıkla gözlemledim. Kişisel deneyimime göre, erken açıklamanın daha yumuşak bir geçişe yol açabileceği, gecikmiş açıklamaların ise gereksiz tartışmalara ve kafa karışıklığına yol açtığı örneklerle karşılaştım.
Laine, tehlikenin altını çizerek, eğer güvenlik açığı ağın önemli bir bölümünü güvence altına almadan önce keşfedilirse, bir saldırganın bunu anlamaya çalışabileceğini ve yeterli sayıda düğüm güncellenmeden önce ağı bozmak için bundan yararlanabileceğini belirtti. Daha basit bir ifadeyle, yamanın ortaya çıkarılmasının zayıflığı belirgin hale getirebileceğini, saldırganın güvenlik açığını çözmesine ve yeterli sayıda kullanıcı sistemlerini yükseltmeden önce potansiyel olarak ağı durdurmasına olanak tanıyacağını açıkladı.
Haberin yayınlandığı sırada SOL fiyatı haberde yer almıyordu ve 154 dolardan işlem görüyordu.
- POPCAT TAHMINI. POPCAT kripto
- AVAX TAHMINI. AVAX kripto
- USDE TAHMINI. USDE kripto
- SYN TAHMINI. SYN kripto
- Tori Spelling ve 90210’un başrol oyuncusu Brian Austin Green, 18 yıllık ayrılığın sorumlusu olarak EXES’lerini suçluyor
- Liam Payne ve Eski Nişanlısı Maya Henry’nin İlişki Zaman Çizelgesi
- BLZ TAHMINI. BLZ kripto
- Andra Day, Los Angeles’taki The Deliverance galasında göz kamaştırıcı rol arkadaşları Mo’Nique ve Glenn Close ile birlikte benzersiz transparan elbisesiyle göz kamaştırıyor
- Liam Payne, trajik ölümünden önceki son gecelerini, yedi yaşındaki oğlu Bear’dan ilham alarak Snapchat’te canlı yayın yapan hasta çocuklar için GoFundMe hesaplarına bağış yaparak geçirdi.
- WEMIX TAHMINI. WEMIX kripto
2024-08-10 04:11