著:GREG FITZGERALDNOV
Solanaへの質問やコミュニティ参加は下記リンクから。
Solana Link:Discord / Twitter / Telegram / Reddit / Github / Youtube
Solanaエンジニアリングチームは、世界的に有名なソフトウェアセキュリティ会社Kudelski Securityと協力して、Solanaソフトウェアアーキテクチャの詳細な監査をおこないました。 Kudelskiチームは、Solanaの8つの主要な技術革新部分と、Solanaインフラストラクチャの全ての要素を徹底的に検査・分析しました。
Kudelskiはこの分野で世界的な名声があり、その監査は世界標準ともいうべきレベルです。“Kudelskiの信頼性を鑑みれば、SolanaとKudelskiが協力して技術監査をおこなうのは素晴らしいことだと思います。”と、Electric Coin Company(Zcashの作成者)COO David Campbellは裏付けました。
全体的に、Solanaに対すKudelskiの分析は前向きな姿勢であり、その中でもProof of Historyを特に好んでいました。彼らは、それを高性能コンピューティングプロジェクトでおなじみのLamport clockとして認識しました。コンセンサスレイヤーでのイノベーションであるTowerBFTを掘り下げ、Proof of Stakeの使用が従来のBFTアルゴリズムから脱却を意味し、コンセンサスの簡素化の機会の誕生についても理解しました。それぞれのエッジケースへの対応は、今後メインネットローンチまでの間、Solanaチームの焦点となります。
この分析は、設計と実装技術に焦点を合わせています。Solanaは、個々の卓越した才能によってその技術を飛躍させる戦略をとっていて、バックフィルと知識の伝達に常に注意を払っています。各メンバーは特定のトピックに囚われること無く広範にわたる意見交換が行われています。これは、Soalanチームのヒューマンリソースがプロジェクトの成長のために適切に配置されていることを表しています。プラットフォームの継続的な開発と実装において、メンバーを失うことは運営上の大きなリスクですが、この状況がSolanaには当てはまらないことが注目に値する部分です。これはチーム全体に知識共有とトレーニングが行き渡っている為になせる業です。
Solanaインフラストラクチャには圧倒的な機密性があることが判明していましたが、Kudelskiの分析プロセスでは、どんなに小さなものであっても、考えられるあらゆる角度からの侵害の可能性を見つけだす事を目的としました。 Sealevelランタイムのトランザクション並列処理については、その安全性についていくつかの議論が起こりました。Kudelskiチームは、これらのケースから実際に攻撃が発生するのを防ぐため方策について考え、何度かの議論の後、資金力による攻撃が理論的に特定のアカウントへのアクセスを遅れさせる可能性がある事が指摘されました。
次に例を示します:
Solana上でクラウドファンディングキャンペーンを実装した場合、攻撃者はクラウドファンディングされたアカウントに少量のトークンを連続して迅速に支払うとします。この少額の支払いは、他の人が同時に多額の支払いを行うことを防具意味合いがあります。この攻撃が2分以上続いた場合、誠実なクライアントは新しいトランザクションを再生成して送信する必要があります。 SolanaがSealevelに優先度の高いチャネルを提供した場合、資金力を持つ攻撃者は、トランザクション料金を支払いをおこなう限り他の全てのクライアントを覆すことができてしまいます。つまりその穴をすぐに塞具必要があるのです!
Kudelskiの監査は、私たちの期待を超えたものでした。構造が健全であるだけでは不十分だということが理解できました。彼らによる調査に対し、Solanaチームは予期しない事態にも迅速に対応する力を見せる必要があります。Solanaメインネットに向けた開発の最終段階での今回のKudelskiの調査結果には非常に勇気づけられました。何よりす、ローンチ前に対処しなければならないエッジケースとその他の課題が明確になったことが収穫です。
私たちはKudelskiの調査結果に謙虚に対応するとともに、無編集のレポートの全文を共有しています。これは私たちがプロジェクトの透明性を何より重視している証左でもあります。
Solanaへの質問やコミュニティ参加は下記リンクから。
Solana Link:Discord / Twitter / Telegram / Reddit / Github / Youtube