Hasil Audit Keamanan Solana
Baca seluruh laporan tentang infrastruktur Solana yang dilakukan oleh perusahaan terkemuka di bidang cyber-security, Kudelski
Tim teknisi Solana telah bekerja sama dengan perusahaan cyber-security terkemuka di dunia Kudelski Security untuk mengaudit setiap detail arsitektur software Solana. Tim Kudelski mendalami setiap sudut delapan inti inovasi Solana, dan meminta tim kami untuk mempertahankan keputusan desain kami pada setiap step pemeriksaan dan pembedahan setiap elemen infrastruktur Solana secara menyeluruh.
Kudelski mempertahankan reputasinya yang mendunia dan hasil auditnya yang berstandar tinggi: “Kami percaya pada Kudelski, kami senang melihat Solana bekerja dengan Kudelski untuk mengaudit teknologi mereka”, jelas Rob Steiner, Direktur Blockchain di DISH. “Kudelski adalah perusahaan cybersecurity internasional yang sangat dihormati”, kata David Campbell, COO di Electric Coin Company (pencipta Zcash).
Secara keseluruhan, analisis Kudelski terhadap Solana hasilnya positif terutama pada project. Kudelski sangat menyukai Proof of History, segera mengenalinya sebagai Lamport clock, hal yang ada pada project komputasi berkinerja tinggi. Mereka menelusuri TowerBFT, inovasi kami di lapisan konsensus, dan memahami kenapa penggunaan Proof of Stake dapat menciptakan peluang yang dapat melampaui algoritma dari BFT tradisional dan menyederhanakan konsensus. Tim Kudelski mampu mengidentifikasi dan menawarkan berbagai cara untuk mempartisi jaringan dan menantang TowerBFT, serta mengidentifikasi celah dalam dokumentasi dan ruang uji kami. Menangani kasus tersebut akan menjadi fokus tim kami mulai sekarang hingga peluncuran mainnet.
“Secara umum tujuan dari analisis ini adalah untuk fokus pada teknologi yang dirancang dan diimplementasikan, hal itu merupakan sebuah pengakuan terhadap keterampilan dan pengetahuan Tim Solana,” menurut laporan Kudelski. “Solana telah menerapkan strategi di mana mereka memanfaatkan bakat personilnya dengan maksimal untuk mencapai kemajuan dalam teknologi, serta dengan dedikasi untuk terus berkembang dan saling transfer ilmu pengetahuan”.
Laporan berlanjut: “Tim berfungsi sebagai tim yang sebenarnya, dengan masing-masing anggota yang mempunyai hak untuk berpendapat dan saling berdiskusi terlepas dari topik tertentu. Hal ini berarti struktur sumber daya manusia pada tim Solana berada pada posisi yang tepat untuk bertumbuh dan dapat mentoleransi apabila kehilangan atau kepergian anggota tim tanpa perlu kehilangan fokus atau kemampuan dalam melakukan pengembangan dan implementasi platform. Hal ini merupakan merupakan risiko yang umum terjadi pada perusahaan kecil dan pemula, luar biasanya adalah hal ini tidak terjadi pada Solana. Mereka telah melakukan hal yang sangat luar biasa dalam menyampaikan dan mendistribusikan pengetahuan dan pelatihan yang menyeluruh di tim mereka. “
Sedangkan sebagian besar infrastruktur Solana dinyatakan solid, analisis Kudelski bertujuan untuk menganalisa potensi pelanggaran yang mungkin terjadi pada segala sisi infrastruktur, tidak peduli seberapa kecil hal tersebut. Paralelisme transaksi runtime dari Sealevel kami menghasilkan banyak hal yang didiskusikan. Kami merujuk pada kasus-kasus di mana paralelisme adalah sistem yang aman, yang mana tim Kudelski melakukan serangan untuk mengetes hal tersebut. Setelah percobaan, kami berkesimpulan bahwa penyerang yang didanai dengan baik dapat memperlambat akses ke akun tertentu.
Contoh kasus:
Jika seseorang menggunakan Solana untuk mengimplementasikan campaign crowdfunding, penyerang dapat terus membayar sejumlah kecil token ke akun crowdfunding secara berurutan. Pembayaran kecil akan mencegah orang lain melakukan pembayaran lebih besar pada saat yang sama. Jika serangan berlanjut selama lebih dari dua menit, klien yang jujur perlu meregenerasi transaksi baru dan mengirimkannya kembali. Jika Solana menawarkan channel prioritas tinggi ke Sealevel, seperti yang diimplementasikan saat ini, penyerang yang didanai dengan baik itu dapat melampaui semua klien lain selama mereka bersedia membayar biaya transaksi. Cukup untuk mengatakan bahwa kami akan segera membereskan hal itu!
Audit Kudelski melampaui ekspektasi kami. Arsitekturnya tidak hanya memadai. Mereka ingin melihat eksplorasi otomatis di segala aspek, dan tim tangguh yang bisa merespons dengan cepat hal-hal yang tidak terduga. Meskipun kami sangat termotivasi oleh hasil temuan Kudelski saat kami memasuki tahap akhir pengembangan menuju Solana mainnet, kami juga memiliki pemahaman yang lebih jelas mengenai aspek-aspek yang perlu diperhatikan sebelum peluncuran.
Kami merasa puas dengan hasil temuan Kudelski, dan dengan bangga membagikan sebagian hasil laporan mereka. Kami sangat percaya pada transparansi.
Klik di sini untuk membaca seluruh laporan Kudelski di Solana.
