Як Solana нейтралізувала атаку потужністю 6 Тбіт/с, використовуючи спеціальний протокол формування трафіку, який робить масштабування спаму неможливим

Коли мережа хвалиться пропускною здатністю, насправді вона хвалиться тим, скільки хаосу може проковтнути, перш ніж задихнутися. Ось чому найцікавіша частина останнього "стрес-тесту" Solana полягає в тому, що тут взагалі немає історії.

Доставка мережі під назвою Pipe опублікувала дані, які оцінюють нещодавній шквал атак на Solana приблизно у 6 терабіт на секунду, і співзасновники Solana публічно підтвердили основну суть цієї інформації. Якщо це число вірне, то це обсяг трафіку, який зазвичай зарезервований для найбільших цілей в інтернеті, про що Cloudflare пише довгі блоги, бо це не повинно бути нормою.

І все ж Solana продовжувала виробляти блоки. Не було жодного скоординованого перезапуску чи групового чату валідаторів, який би перетворився на нічний фільм-катастрофу.

Власне розслідування CryptoSlate щодо інциденту повідомило, що виробництво блоків залишалося стабільним, підтвердження продовжувалися, і не було значного стрибка користувацьких комісій. Навіть була контраргументована думка: SolanaFloor зазначив, що один із учасників Anza стверджував, що 6 Тбіт/с — це короткочасний піковий сплеск, а не постійна тижнева стіна трафіку, що важливо, оскільки "пік" може бути і правдою, і трохи театральністю.

Такий рівень нюансів прийнятний. У реальних атаках відмови в обслуговуванні пік часто є головною метою, оскільки короткий удар може все одно звалити систему, налаштовану на стабільний стан.

Звіти про загрози від Cloudflare вказують, що багато великих атак закінчуються швидко, іноді занадто швидко для людської реакції, тому сучасний захист має бути автоматичним. Останній інцидент із Solana тепер демонструє мережу, яка навчилася робити спам нудним.

Який це був тип атаки і чого насправді хочуть атакуючі?

DDoS — це найгрубіша, але найефективніша зброя інтернету: перевантажити звичайний трафік цілі, затопивши її сміттєвим трафіком з багатьох машин одночасно. Визначення Cloudflare прямолінійне; це зловмисна спроба порушити нормальний трафік шляхом перевантаження цілі або сусідньої інфраструктури потоком інтернет-трафіку, зазвичай зламаними системами.

Це версія web2, і саме на неї натякає Pipe з графіком у терабітах на секунду. Криптомережі додають другий, більш крипто-орієнтований шар: спам, який не є "сміттєвими пакетами на сайті", а "нескінченними транзакціями в ланцюжку", часто тому, що на іншому боці заторів є гроші.

Історія збоїв Solana схожа на посібник з цієї проблеми стимулів. У вересні 2021 року ланцюг був офлайн понад 17 годин, і ранній постмортем Solana описав потік транзакцій, керованих ботами, як, по суті, подію відмови в обслуговуванні, пов'язану з IDO на Raydium.

У квітні 2022 року офіційний звіт про збій Solana описав ще інтенсивнішу стіну вхідних транзакцій — 6 мільйонів на секунду, при цьому окремі вузли бачили понад 100 Гбіт/с. У звіті зазначалося, що не було доказів класичної кампанії відмови в обслуговуванні, а відбитки виглядали як боти, що намагаються виграти NFT mint, де перший, хто звернувся, отримує приз.

Того дня мережа припинила виробництво блоків і була змушена координувати перезапуск.

Тож чого хочуть атакуючі, окрім уваги та задоволення від зіпсованої неділі для всіх? Іноді це прямий шантаж: заплатіть нам, або ми залишимо "пожежний шланг" увімкненим.

Іноді це шкода репутації, бо ланцюг, який не може залишатися онлайн, не може достовірно хостити ті додатки, які люди хочуть створювати. Іноді це ігри на ринку, коли зламаний UX створює дивні ціни, затримані ліквідації та вимушені перенаправлення, що винагороджують тих, хто готовий до безладу.

У версії спаму на ланцюжку мета може бути прямою: виграти mint, виграти торгівлю, виграти ліквідацію, виграти простір у блоці.

Те, що змінилося зараз — це те, що Solana побудувала більше способів відмовити у запрошенні.

Зміни в дизайні, які дозволили Solana залишатися онлайн

Solana стала краще залишатися онлайн, змінивши місце, де проявляється біль. У 2022 році збої мали знайому форму: занадто багато вхідних запитів, надмірне навантаження на ресурси вузлів, недостатня здатність сповільнювати зловмисників і наслідки, які перетворювали затори на проблеми життєздатності.

Найважливіші оновлення знаходяться на межі мережі, де трафік потрапляє до валідаторів і лідерів. Одне з них — це перехід на QUIC для мережевої комунікації, який Solana згодом включила до своєї роботи зі стабільності разом із локальними ринками комісій та stake-weighted quality of service.

QUIC — це не магія, але він створений для контрольованих, мультиплексованих з'єднань, а не для старих моделей з'єднань, які роблять зловживання дешевим.

Ще важливіше, документація Solana для валідаторів описує, як QUIC використовується всередині шляху Transaction Processing Unit: обмеження на одночасні QUIC-з'єднання на ідентифікатор клієнта, обмеження на одночасні потоки на з'єднання та обмеження, що масштабуються відповідно до стейку відправника. Також описується обмеження швидкості пакетів за секунду на основі стейку, і зазначається, що сервер може відкидати потоки з кодом обмеження, а клієнти повинні зменшувати активність.

Це перетворює "спам" на "спам, який потрапляє на повільну смугу". Тепер недостатньо мати пропускну здатність і ботнет, бо тепер потрібен привілейований доступ до потужності лідера, або ви змагаєтеся за вузьку її частку.

Посібник розробника Solana для stake-weighted QoS це пояснює: з увімкненою функцією валідатор із 1% стейку має право передавати до 1% пакетів лідеру. Це не дозволяє відправникам із малим стейком затоплювати всіх інших і підвищує стійкість до Sybil-атак.

Іншими словами, стейк стає своєрідною заявкою на пропускну здатність, а не лише вагою голосу.

Далі йде питання комісій, де Solana намагається уникнути ситуації "один галасливий додаток руйнує все місто". Локальні ринки комісій і пріоритетні комісії дають користувачам спосіб конкурувати за виконання без перетворення кожного напруженого моменту на загальний аукціон у ланцюжку.

Документація Solana щодо комісій пояснює, як працюють пріоритетні комісії через обчислювальні одиниці: користувачі можуть встановлювати ліміт обчислювальних одиниць і необов'язкову ціну за одиницю, яка діє як чайові для стимулювання пріоритету. Також зазначається практична особливість: пріоритетна комісія базується на запитаному ліміті обчислювальних одиниць, а не на фактично використаних, тому недбалі налаштування можуть призвести до оплати за невикористаний запас.

Це робить обчислювально важку поведінку дорожчою і дає мережі важіль, щоб зробити зловживання дорожчим там, де це боляче.

Об'єднавши ці елементи, отримуємо інший режим відмови. Замість потоку вхідного шуму, який штовхає вузли у спіралі пам'яті, мережа має більше способів обмежувати, пріоритезувати і стримувати.

Solana, озираючись на епоху 2022 року, визначила QUIC, локальні ринки комісій і stake-weighted QoS як конкретні кроки, зроблені для того, щоб надійність не жертвувалася заради швидкості.

Ось чому терабітний вікенд може пройти без реальних наслідків: у ланцюга більше автоматичних "ні" на порозі і більше способів тримати чергу для користувачів, які не намагаються його зламати.

Жодне з цього не означає, що Solana імунна до поганих днів. Навіть ті, хто вітає анекдот про 6 Тбіт/с, сперечаються про те, що означає це число і як довго воно тривало, що є ввічливим способом сказати, що інтернет-вимірювання заплутані, а права на хвастощі не супроводжуються аудиторським звітом.

І компроміси не зникають. Система, яка пов'язує кращу обробку трафіку зі стейком, за задумом, більш дружня до операторів із великим капіталом, ніж до валідаторів-ентузіастів. Система, яка залишається швидкою під навантаженням, все одно може стати майданчиком для ботів, які готові платити.

Втім, той факт, що мережа була тихою, має значення. Раніше збої Solana не були "люди помітили невелику затримку". Виробництво блоків повністю припинялося, за чим слідували публічні перезапуски і тривалі вікна координації, включаючи зупинку у квітні 2022 року, на вирішення якої пішли години.

На відміну від цього, цього тижня історія полягає в тому, що ланцюг залишався живим, навіть коли трафік, за чутками, досяг масштабів, більш звичних для звітів про загрози Cloudflare, ніж для крипто-легенд.

Solana поводиться як мережа, яка очікує атак і вирішила, що атакуючий має втомитися першим.

Публікація "How Solana neutralized a 6 Tbps attack using a specific traffic-shaping protocol that makes spam impossible to scale" вперше з'явилася на CryptoSlate.