Come Solana ha neutralizzato un attacco da 6 Tbps utilizzando un protocollo specifico di traffic-shaping che rende impossibile scalare lo spam

Quando una rete si vanta della propria capacità di throughput, in realtà si sta vantando di quanta confusione può sopportare prima di andare in crisi. Ecco perché la parte più interessante dell’ultimo “stress test” di Solana è che, in realtà, non c’è nessuna storia da raccontare.

Una rete di consegna chiamata Pipe ha pubblicato dati che stimano una recente ondata contro Solana a circa 6 terabit al secondo, e i co-fondatori di Solana hanno confermato pubblicamente la sostanza di questi dati. Se il numero è corretto, si tratta di un volume di traffico solitamente riservato ai più grandi bersagli di internet, il tipo di situazione su cui Cloudflare scrive lunghi post sul blog perché non dovrebbe essere la norma.

Eppure Solana ha continuato a produrre blocchi. Non c’è stato alcun riavvio coordinato né una chat di gruppo tra validatori trasformata in un film catastrofico notturno.

Secondo quanto riportato da CryptoSlate sull’incidente, la produzione dei blocchi è rimasta stabile e le conferme hanno continuato a procedere, senza un aumento significativo delle commissioni per gli utenti. C’era persino un punto di vista opposto nella discussione: SolanaFloor ha osservato che un collaboratore di Anza ha sostenuto che il valore di 6 Tbps rappresentava un picco breve e non un muro costante di traffico per tutta la settimana, il che è importante perché “picco” può essere sia vero che un po’ teatrale.

Questa sfumatura va bene. Nel mondo reale degli attacchi denial-of-service, il picco è spesso il punto centrale, perché un colpo breve può comunque abbattere un sistema ottimizzato per uno stato costante.

I rapporti sulle minacce di Cloudflare sottolineano come molti grandi attacchi finiscano rapidamente, a volte troppo in fretta perché gli umani possano reagire, motivo per cui la difesa moderna dovrebbe essere automatica. L’ultimo incidente di Solana mostra ora una rete che ha imparato a rendere lo spam noioso.

Che tipo di attacco è stato questo e cosa vogliono davvero gli aggressori?

Un DDoS è l’arma più rozza ma efficace di internet: sovraccaricare il traffico normale di un bersaglio inondandolo di traffico spazzatura proveniente da molte macchine contemporaneamente. La definizione di Cloudflare è schietta; si tratta di un tentativo malevolo di interrompere il traffico normale sovraccaricando il bersaglio o l’infrastruttura vicina con un’ondata di traffico internet, tipicamente proveniente da sistemi compromessi.

Questa è la versione web2, ed è quella a cui Pipe fa riferimento con un grafico in terabit al secondo. Le reti crypto aggiungono una seconda variante, più nativa del settore: spam che non è tanto “pacchetti spazzatura su un sito web” quanto “transazioni infinite su una chain”, spesso perché dall’altra parte della congestione c’è del denaro.

La stessa storia delle interruzioni di Solana è come un manuale su questo problema di incentivi. Nel settembre 2021, la chain è rimasta offline per oltre 17 ore, e il primo resoconto di Solana ha descritto l’ondata di transazioni generate da bot come, di fatto, un evento di denial-of-service legato a un IDO ospitato da Raydium.

Nell’aprile 2022, il rapporto ufficiale di Solana su un’interruzione ha descritto una parete di transazioni in entrata ancora più intensa, 6 milioni al secondo, con singoli nodi che vedevano oltre 100 Gbps. Il rapporto affermava che non c’erano prove di una classica campagna di denial-of-service, e che le impronte digitali sembravano quelle di bot che cercavano di vincere un mint NFT dove il primo chiamante ottiene il premio.

Quel giorno la rete ha smesso di produrre blocchi e ha dovuto coordinare un riavvio.

Quindi, cosa vogliono gli aggressori, oltre all’attenzione e al piacere di rovinare la domenica a tutti? A volte si tratta di estorsione diretta: pagateci, o lasciamo il rubinetto aperto.

A volte si tratta di danni reputazionali, perché una chain che non riesce a rimanere attiva non può ospitare credibilmente le app che le persone vogliono costruire. A volte si tratta di giochi di mercato, dove un’esperienza utente interrotta crea prezzi anomali, liquidazioni ritardate e deviazioni forzate che premiano chi è posizionato per il disordine.

Nella versione on-chain dello spam, l’obiettivo può essere diretto: vincere il mint, vincere la trade, vincere la liquidazione, vincere lo spazio nel blocco.

La differenza ora è che Solana ha costruito più modi per rifiutare l’invito.

I cambiamenti di design che hanno mantenuto Solana operativa

Solana è diventata più brava a rimanere online cambiando il punto in cui si manifesta il problema. Nel 2022, i fallimenti avevano una forma familiare: troppe richieste in entrata, troppo stress sulle risorse dei nodi, poca capacità di rallentare i malintenzionati e effetti a catena che trasformavano la congestione in problemi di liveness.

Gli aggiornamenti più importanti si trovano ai margini della rete, dove il traffico raggiunge i validatori e i leader. Uno di questi è la transizione a QUIC per la comunicazione di rete, che Solana ha poi elencato come parte del suo lavoro sulla stabilità, insieme ai mercati delle commissioni locali e alla qualità del servizio ponderata per stake.

QUIC non è magia, ma è progettato per connessioni controllate e multiplexate piuttosto che per i vecchi schemi di connessione che rendono l’abuso economico.

Ancora più importante, la documentazione lato validatore di Solana descrive come QUIC viene utilizzato all’interno del percorso della Transaction Processing Unit: limiti sulle connessioni QUIC simultanee per identità cliente, limiti sui flussi simultanei per connessione e limiti che si adattano allo stake del mittente. Descrive anche il rate limiting dei pacchetti al secondo applicato in base allo stake, e nota che il server può interrompere i flussi con un codice di throttling, con i client che dovrebbero rallentare.

Questo trasforma lo “spam” in “spam che viene relegato nella corsia lenta”. Non basta più avere banda e una botnet, perché ora serve accesso privilegiato alla capacità del leader, oppure si compete per una fetta più ristretta di essa.

La guida per sviluppatori di Solana sulla QoS ponderata per stake lo spiega chiaramente: con la funzione attivata, un validatore che detiene l’1% dello stake ha il diritto di trasmettere fino all’1% dei pacchetti al leader. Questo impedisce ai mittenti con poco stake di inondare tutti gli altri e aumenta la resistenza a Sybil.

In altre parole, lo stake diventa una sorta di diritto alla banda, non solo peso di voto.

Poi c’è il lato delle commissioni, dove Solana cerca di evitare che “una sola app rumorosa rovini tutta la città”. I mercati delle commissioni locali e le commissioni di priorità danno agli utenti un modo per competere per l’esecuzione senza trasformare ogni momento di traffico intenso in un’asta su tutta la chain.

La documentazione sulle commissioni di Solana spiega come funzionano le commissioni di priorità tramite le compute unit, con gli utenti che possono impostare un limite di compute unit e un prezzo opzionale per compute unit, che funge da mancia per incentivare la priorità. Nota anche un aspetto pratico: la commissione di priorità si basa sul limite di compute unit richiesto, non su quello effettivamente utilizzato, quindi impostazioni imprecise possono significare pagare per capacità inutilizzata.

Questo mette un prezzo ai comportamenti computazionalmente pesanti e dà alla rete una leva per rendere più costoso l’abuso dove serve.

Mettendo insieme questi elementi, si ottiene una modalità di fallimento diversa. Invece di un’ondata di rumore in entrata che porta i nodi in spirali di morte della memoria, la rete ha più modi per limitare, dare priorità e contenere.

Solana stessa, guardando indietro all’era 2022, ha descritto QUIC, i mercati delle commissioni locali e la QoS ponderata per stake come passi concreti per evitare che l’affidabilità venga sacrificata per la velocità.

Ecco perché un weekend su scala terabit può passare senza vere ripercussioni: la chain ha più “no” automatici alla porta d’ingresso e più modi per mantenere la fila in movimento per gli utenti che non cercano di romperla.

Niente di tutto ciò significa che Solana sia immune da giornate difficili. Anche chi esulta per l’aneddoto dei 6 Tbps discute su cosa significhi il numero e quanto sia durato, che è un modo educato per dire che le misurazioni su internet sono complicate e i diritti di vantarsi non vengono accompagnati da un audit report.

E i compromessi non spariscono. Un sistema che lega un trattamento migliore del traffico allo stake è, per design, più favorevole agli operatori ben capitalizzati che ai validatori amatoriali. Un sistema che rimane veloce sotto carico può comunque diventare un luogo per i bot disposti a pagare.

Tuttavia, il fatto che la rete sia rimasta silenziosa è importante. Le precedenti interruzioni di Solana non erano “la gente ha notato un po’ di latenza”. La produzione dei blocchi si fermava completamente, seguita da riavvii pubblici e lunghe finestre di coordinamento, incluso lo stop dell’aprile 2022 che ha richiesto ore per essere risolto.

Al contrario, la storia di questa settimana è che la chain è rimasta attiva mentre il traffico avrebbe raggiunto una scala più tipica dei rapporti sulle minacce di Cloudflare che della storia delle crypto.

Solana si comporta come una rete che si aspetta di essere attaccata e ha deciso che dovrebbe essere l’attaccante a stancarsi per primo.

L’articolo How Solana neutralized a 6 Tbps attack using a specific traffic-shaping protocol that makes spam impossible to scale è apparso per la prima volta su CryptoSlate.