ソラナの脆弱性を修正
暗号資産(仮想通貨)ソラナのバリデータを運営するブロックチェーン企業Laineは9日、ソラナのネットワークに脆弱性があったことを公表した。
なお、この公表の前に脆弱性は修正済み。修正前に脆弱性が明らかになれば、ソラナのネットワークが停止する可能性があったとLaineは説明している。
関連:仮想通貨ソラナのブロックチェーン、障害で約5時間稼働を停止 現在は復旧
今回はXの投稿で脆弱性を修正したことを伝えているが、投稿の本題は「脆弱性の修正を一般公開することなく、どのようにネットワークの70%に修正プログラムを適用したか」。この適用方法を説明する中で、脆弱性を修正したことを公表している。
Laineは、今回の修正プログラムについて、まずはソラナ財団の複数のメンバーから連絡があったと説明。この連絡はプライベートな手段を使って行われ、すでに知っているメンバーからであったため信用することができたという。
具体的なメッセージを最初に受けとったのは7日だったと説明している。そこには、修正プログラムが配布されることが書かれており、配布日などの内容がハッシュ化されて記載されていた。
そして、このハッシュが、真実であることを証明するためにソラナ財団などから、XやGitHub、LinkedIn上で伝えられていったという。
Xのコメント欄では、「なぜ7日の時点で公表しなかったのか」という質問が寄せられている。その質問にLaineは「修正プログラムによって脆弱性が明らかになって、攻撃を受ける可能性があった。ネットワーク上で十分な数のノードがアップグレードされるまでは、攻撃によってブロックチェーンが停止する可能性があったからだ」と答えている。
そのため、Laineは、ステーキング数量の70%が修正プログラムを適用したのを確認して、今回の内容を公表。なお、Xの投稿では脆弱性の内容は説明していない。
関連:ソラナ、一新した形式でカンファレンス「Breakpoint 2024」を開催へ
分散型ネットワーク上での連絡
Laineは今回の説明で「分散型のネットワーク上でバリデータとどのようにコンタクトをとったか」も解説した。「これも問題の1つだったが、大変ではあっても、それほど複雑ではなかった」と述べている。
ソラナのエコシステムでは多くのバリデータがDiscordやテレグラムに積極的に参加していることに加え、Xで連絡がとれたり、ソラナ財団などのメンバーに個人的に知り合った人々がいたりしたことが奏功したと説明した。
鍵となったのは、修正用プログラムのことを秘密にしたまま、十分な数のノードといかにコンタクトをとるかだったいう。一方、ソラナのバリデータのコミュニティは活動的で関係性が強く、問題なく進められたと説明している。
関連:ソラナ性能向上「ファイアダンサー」、1.6億円相当のバグ報奨金プログラムを開始
関連:ソラナ(SOL)おすすめ取引所、手数料・ステーキング・出庫機能を徹底比較
