Solanaは、スパムのスケールを不可能にする特定のトラフィックシェーピングプロトコルを使用して、6 Tbpsの攻撃を無効化しました

ネットワークがスループットを自慢するとき、それは実際にはどれだけのカオスを飲み込めるかを誇示しているに過ぎません。だからこそ、Solanaの最新の「ストレステスト」で最も興味深い点は、まったく話題にならなかったことです。

Pipeという配信ネットワークが、Solanaに対する最近の猛攻撃が約6テラビット毎秒に達したというデータを公開し、Solanaの共同創設者たちもその主張を公の投稿で支持しました。この数字が正しければ、それは通常インターネット最大級のターゲットにのみ見られるトラフィック量であり、Cloudflareが長文のブログ記事を書くようなもので、普通ではありえないことです。

それでもSolanaはブロックを生成し続けました。協調的な再起動も、バリデーター全体のグループチャットが深夜のディザスタームービーになることもありませんでした。

CryptoSlate自身のこのインシデントに関する報道によれば、ブロック生成は安定しており、承認も進み、ユーザー手数料の大幅な上昇もなかったとのことです。議論の中には反論もあり、SolanaFloorはAnzaの貢献者が「6 Tbps」という数字は短時間のピークバーストであり、1週間ずっと続いたわけではないと主張したことを指摘しています。これは「ピーク」が事実でありつつも、やや演出的である可能性があるため重要です。

このようなニュアンスは問題ありません。現実世界のサービス拒否攻撃（DoS）では、ピークこそが重要であり、短い一撃でも定常状態に最適化されたシステムを倒すことができるからです。

Cloudflareの脅威レポートは、多くの大規模攻撃が非常に短時間で終了し、人間が反応するには早すぎることが多いと指摘しています。そのため、現代の防御は自動化されているべきなのです。Solanaの最新のインシデントは、スパムを退屈なものにする方法を学んだネットワークを示しています。

これはどのような攻撃で、攻撃者は実際に何を望んでいるのか？

DDoSはインターネットで最も原始的でありながら最も効果的な武器です。ターゲットの通常のトラフィックを、多数のマシンからのジャンクトラフィックで圧倒します。Cloudflareの定義は率直で、これは悪意のある試みであり、通常は侵害されたシステムからのインターネットトラフィックの洪水でターゲットやその周辺インフラを圧倒し、通常のトラフィックを妨害するものです。

これはweb2のバージョンであり、Pipeがテラビット毎秒のグラフで示唆しているのもこのバージョンです。暗号ネットワークはさらにもう一つ、より暗号ネイティブなバリエーションを加えます。それは「ウェブサイトへのジャンクパケット」ではなく、「チェーンへの無限のトランザクション」であり、しばしば混雑の向こう側に金銭的インセンティブがあるためです。

Solana自身の過去の障害は、そのインセンティブ問題の手引書のようなものです。2021年9月、チェーンは17時間以上オフラインとなり、Solanaの初期の事後分析では、ボットによるトランザクションの洪水が、事実上Raydiumで開催されたIDOに関連するサービス拒否イベントであったと位置付けられました。

2022年4月、Solanaの公式障害レポートは、1秒あたり600万件のトランザクションというさらに激しいインバウンドの壁を記述しており、個々のノードは100Gbps以上を観測しました。レポートによれば、従来型のサービス拒否キャンペーンの証拠はなく、NFTミントで最初に呼び出した者が報酬を得るためにボットが競い合っていた痕跡があったとのことです。

その日はネットワークがブロック生成を停止し、再起動のための調整が必要となりました。

では、攻撃者は注目や他人の日曜日を台無しにする楽しみ以外に何を望んでいるのでしょうか？時には単純な恐喝です。「金を払え、さもなくば攻撃を続ける」といったものです。

時には評判へのダメージであり、稼働し続けられないチェーンは、人々が構築したいアプリを信頼してホストできないからです。時には市場での駆け引きであり、UXの崩壊が奇妙な価格設定や清算の遅延、強制的な迂回を生み出し、混乱に備えた者が報われることもあります。

オンチェーンのスパムバージョンでは、目的は直接的です。ミントで勝つ、取引で勝つ、清算で勝つ、ブロックスペースで勝つ、というものです。

今違うのは、Solanaがその招待を断る方法を増やしたことです。

Solanaを稼働させ続けた設計変更

Solanaは、どこに負荷が現れるかを変えることで、オンラインを維持する能力を高めました。2022年には、障害はおなじみの形をしていました。インバウンドリクエストが多すぎ、ノードレベルのリソース負荷が高すぎ、悪意あるアクターを遅らせる能力が低すぎ、混雑が稼働性の問題に波及していました。

最も重要なアップグレードは、ネットワークのエッジ、すなわちトラフィックがバリデーターやリーダーに到達する場所にあります。一つはネットワーク通信のためのQUICへの移行であり、Solanaはこれをローカル手数料市場やステーク加重QoSと並んで安定性向上策の一部として挙げています。

QUICは魔法ではありませんが、制御された多重接続のために設計されており、従来の乱用しやすい接続パターンとは異なります。

さらに重要なのは、Solanaのバリデーター向けドキュメントが、QUICがトランザクション処理ユニット経路内でどのように使われているかを説明している点です。クライアントIDごとの同時QUIC接続数、接続ごとの同時ストリーム数、送信者のステークに応じた制限があります。また、ステークに基づくパケット毎秒のレート制限が適用され、サーバーはスロットリングコードでストリームをドロップでき、クライアントはバックオフすることが期待されています。

これにより「スパム」は「遅いレーンに押し込まれるスパム」になります。帯域幅とボットネットがあれば十分というわけではなく、今やリーダーのキャパシティへの特権的なアクセスが必要か、より狭い枠を争うことになります。

Solanaのステーク加重QoSの開発者ガイドはこれを明確に説明しています。この機能が有効な場合、1%のステークを持つバリデーターはリーダーに送信するパケットの1%までを送る権利があります。これにより、低ステークの送信者が他の全員を圧倒するのを防ぎ、Sybil耐性が向上します。

言い換えれば、ステークは投票権だけでなく、帯域幅の請求権にもなります。

さらに手数料面では、Solanaは「うるさいアプリが都市全体を台無しにする」ことを避けようとしています。ローカル手数料市場と優先手数料により、ユーザーは実行を競う方法を得られ、混雑時にチェーン全体がオークション状態になるのを防ぎます。

Solanaの手数料ドキュメントは、優先手数料がコンピュートユニットを通じて機能する仕組みを説明しており、ユーザーはコンピュートユニットの上限とオプションで価格（チップのようなもの）を設定でき、優先順位付けを促します。また、実際の注意点として、優先手数料は実際に使用したコンピュートユニットではなく、要求した上限に基づくため、設定が雑だと未使用分にも支払うことになると指摘しています。

これにより、計算負荷の高い行動に価格が付き、ネットワークは悪用が痛手となる部分でコストを上げることができます。

これらを組み合わせることで、異なる障害モードが生まれます。大量のノイズがノードをメモリの死のスパイラルに追い込むのではなく、ネットワークはより多くの方法でスロットリング、優先順位付け、封じ込めができるようになりました。

Solana自身も、2022年時代を振り返り、QUIC、ローカル手数料市場、ステーク加重QoSを、信頼性をスピードの犠牲にしないための具体的な施策として位置付けています。

だからこそ、テラビット級の週末が実害なく過ぎることができるのです。チェーンの玄関口で自動的な「ノー」が増え、壊そうとしないユーザーのために列を動かし続ける方法が増えました。

これでSolanaが醜い日々に無敵になったわけではありません。6 Tbpsの逸話を称賛する人々でさえ、その数字の意味や持続時間について議論しており、これはインターネットの計測が混沌としており、自慢話には監査報告書が付かないことを丁寧に示しています。

また、トレードオフも消えません。より良いトラフィック処理をステークに結びつけるシステムは、設計上、資本力のあるオペレーターにとって趣味のバリデーターよりも有利です。負荷下でも高速を維持するシステムは、支払いを厭わないボットの温床にもなり得ます。

それでも、ネットワークが静かだったという事実は重要です。Solanaの以前の障害は「少し遅延があった」程度ではありませんでした。ブロック生成が完全に停止し、公開再起動や長時間の調整期間が続き、2022年4月の停止では解決に数時間を要しました。

対照的に、今週の話は、トラフィックがCloudflareの脅威レポートにふさわしい規模に達したとされる中でも、チェーンが稼働し続けたということです。

Solanaは、攻撃されることを前提とし、攻撃者こそが先に疲れるべきだと決めたネットワークのように振る舞っています。

この記事「How Solana neutralized a 6 Tbps attack using a specific traffic-shaping protocol that makes spam impossible to scale」はCryptoSlateに最初に掲載されました。