Ripple teigia, kad sugriežtina XRP Ledger pakeitimo procesą po to, kai buvo rastas kritinis pasiūlyto paketo pakeitimo (XLS-56) trūkumas – incidentas, dėl kurio atsirado peržiūros spragų, net jei tinklo paskutinės apsaugos priemonės užkirto kelią bet kokiam tinklo poveikiui.
Pranešime apie X RippleX inžinerijos vadovas J. Ayo Akinyele sakė, kad šią klaidą praėjusią savaitę nustatė Cantina AI, apie tai buvo atsakingai pranešta ir greitai patvirtinta, kad ji yra kritinė. Problema niekada nebuvo naudojama pagrindiniame tinkle, nes pataisa dar nebuvo suaktyvinta, o buvo išleista karštoji pataisa, leidžianti išjungti ir paketinį, ir susijusį pataisos pataisą, kol peržiūrimas platesnis taisymas.
Ripple reaguoja į kritinę klaidą
Akinyele nesistengė sušvelninti pratrūkimo reikšmės. „Paketo pakeitimas pažengė toliau, nei turėjo būti“, – rašė jis. „Kaip aktyvūs pataisų gyvavimo ciklo dalyviai, dalijamės atsakomybe už tai, kad peržiūros, signalizacijos ir aktyvinimo apsaugos priemonės atitiktų aukščiausius standartus. Šiuo atveju turime padaryti geriau.
Tuo pačiu metu „Ripple“ šį epizodą apibūdina kaip ankstyvos peržiūros, o ne paties XRPL valdymo modelio nesėkmę. Akinyele teigė, kad „pakeitimų procesas veikė taip, kaip numatyta“, pažymėjo, kad aktyvinimo blokavimas apsaugojo nuo žalos pagrindiniam tinklui ir klaidų atskleidimo būdas veikė kaip numatyta. Tačiau jis pridūrė aštresnį įspėjimą: „Tos apsaugos priemonės yra svarbios, tačiau jos turėtų būti paskutinė, o ne pagrindinė gynybos linija.
Šis skirtumas eina per likusį Ripple atsakymą. Užuot siūlęs griežtesnę centralizuotą kontrolę, Akinyele teigė, kad XRPL pakeitimų saugumas turi likti paskirstytas pagrindiniams bendraautoriams, tikrintojams, XRPL fondui ir išorės tyrėjams. „Nė vienas subjektas nekontroliuoja aktyvinimo. Nė vienas subjektas neprisiima rizikos atskirai“, – rašė jis, apibūdindamas šią struktūrą ir kaip decentralizacijos pasekmę, ir kaip stiprybę, su sąlyga, kad ją suderina daugiasluoksnė apsauga ir geresnis koordinavimas.
„Ripple“ siūlomi pataisymai yra platūs. Akinyele teigė, kad būsimi leidimai, kuriuose pristatomos funkcijos, keliančios „teorinę sutrikimo riziką“, bus atliekamos daug kartų nepriklausomų auditų su patikimomis saugos įmonėmis, derinančiomis su XRPL fondu. Idėja nesudėtinga: skirtingos komandos užfiksuoja skirtingų klasių problemas, o perteklius sumažina akląsias vietas, kai kodas paliečia konsensusą lemiantį elgesį.
Bendrovė taip pat planuoja išplėsti klaidų kompensavimo programą ir įforminti priešpriešinio testavimo kampanijas prieš aktyvavimą. Akinyele nurodė tokias iniciatyvas kaip skolinimo ataka ir UBRI remiamas hakatonas kaip šio požiūrio pavyzdžius, teigdama, kad paskatinti baltaskrybėles užpuolikus prieš paleidimą yra daug pigiau nei reaguoti po to. Jis pridūrė, kad Batch incidento pamokos jau paveikė kitus veiksmų plano elementus, sakydamas, kad „Ripple“ „sąmoningai sulaikė skolinimą“, kad būtų galima atlikti daugiau peržiūrų, bandymų ir patikrinimų prieš pradedant aktyvuoti.
Dalis to kito etapo labiau priklausys nuo AI. Akinyele teigė, kad „Ripple“ į savo programinės įrangos kūrimo ciklą įtraukia AI padedamą kodo peržiūrą, automatinį invariantų aptikimą, agentinį sumaišymą ir imituojamus atakų scenarijus. „AI nepakeičia ekspertų C++ inžinierių, o juos papildo“, – rašė jis, ypač kai „subtilios loginės sąveikos kritiniuose taškuose gali sukelti per didelę riziką“.
Ilgesniam laikotarpiui „Ripple“ teigia norinti, kad oficialus patikrinimas taptų standartiniu didelės rizikos knygos komponentų atveju. Tai apima modifikavimo elgsenos modeliavimą prieš aktyvavimą, kritinių komponentų saugos savybių patikrinimą ir formalių metodų integravimą iš XLS specifikacijos įgyvendinant ir išbandant. Platesnis tikslas, sakė Akinyele, yra visiškas užtikrinimas, kad pataisos kodas yra ne tik funkcionaliai teisingas, bet ir suderintas su apibrėžtomis saugos ir saugos savybėmis.
Spaudos metu XRP kainavo 1,3698 USD.
Teminis vaizdas sukurtas naudojant DALL.E, diagrama iš TradingView.com
Redakcinis procesas „Bitcoinist“ yra orientuota į kruopščiai ištirto, tikslaus ir nešališko turinio teikimą. Mes laikomės griežtų tiekimo standartų, o kiekvieną puslapį kruopščiai peržiūri geriausių technologijų ekspertų komanda ir patyrę redaktoriai. Šis procesas užtikrina mūsų turinio vientisumą, aktualumą ir vertę mūsų skaitytojams.
