Como a Solana neutralizou um ataque de 6 Tbps usando um protocolo específico de modelagem de tráfego que torna impossível escalar spam

Quando uma rede se gaba de sua capacidade de processamento, na verdade está se gabando de quanto caos consegue engolir antes de engasgar. É por isso que a parte mais interessante do mais recente “teste de estresse” da Solana é que não há história alguma.

Uma rede de entrega chamada Pipe publicou dados que colocaram um recente bombardeio contra a Solana em cerca de 6 terabits por segundo, e os cofundadores da Solana apoiaram amplamente essa estimativa em publicações públicas. Se o número estiver correto, é o tipo de volume de tráfego geralmente reservado para os maiores alvos da internet, o tipo de coisa sobre a qual a Cloudflare escreve longos posts em seu blog porque não deveria ser normal.

E, mesmo assim, a Solana continuou produzindo blocos. Não houve reinicialização coordenada nem um chat em grupo de validadores se transformando em um filme de desastre noturno.

A própria reportagem da CryptoSlate sobre o incidente afirmou que a produção de blocos permaneceu estável e as confirmações continuaram, sem aumento significativo nas taxas para os usuários. Houve até um contraponto nas discussões: a SolanaFloor observou que um colaborador da Anza argumentou que o número de 6 Tbps foi um pico curto, e não uma parede constante de tráfego durante uma semana, o que importa porque “pico” pode ser verdadeiro e um pouco teatral ao mesmo tempo.

Esse tipo de nuance é aceitável. No mundo real dos ataques de negação de serviço, o pico costuma ser o objetivo, pois um golpe curto ainda pode derrubar um sistema ajustado para um estado estável.

Os relatórios de ameaças da Cloudflare apontam como muitos ataques de grande escala terminam rapidamente, às vezes rápido demais para que humanos possam reagir, razão pela qual a defesa moderna deve ser automática. O mais recente incidente da Solana agora mostra uma rede que aprendeu a tornar o spam entediante.

Que tipo de ataque foi este, e o que os atacantes realmente querem?

Um DDoS é a arma mais grosseira, porém eficaz, da internet: sobrecarregar o tráfego normal de um alvo inundando-o com tráfego inútil de várias máquinas ao mesmo tempo. A definição da Cloudflare é direta; é uma tentativa maliciosa de interromper o tráfego normal sobrecarregando o alvo ou a infraestrutura próxima com uma enxurrada de tráfego de internet, normalmente proveniente de sistemas comprometidos.

Essa é a versão web2, e é a versão à qual a Pipe faz referência com um gráfico de terabits por segundo. As redes cripto adicionam um segundo sabor, mais nativo do universo cripto: spam que não é “pacotes inúteis em um site”, mas sim “transações intermináveis em uma blockchain”, muitas vezes porque há dinheiro do outro lado da congestão.

O próprio histórico de interrupções da Solana é como um manual para esse problema de incentivo. Em setembro de 2021, a blockchain ficou offline por mais de 17 horas, e o primeiro relatório pós-morte da Solana enquadrou a enxurrada de transações automatizadas como, de fato, um evento de negação de serviço ligado a um IDO hospedado pela Raydium.

Em abril de 2022, o relatório oficial de interrupção da Solana descreveu uma parede ainda mais intensa de transações recebidas, 6 milhões por segundo, com nós individuais vendo mais de 100 Gbps. O relatório afirmou que não havia evidências de uma campanha clássica de negação de serviço, e que os indícios pareciam bots tentando vencer um mint de NFT onde o primeiro a chamar leva o prêmio.

Nesse dia, a rede parou de produzir blocos e precisou coordenar uma reinicialização.

Então, o que os atacantes querem, além de atenção e da satisfação de arruinar o domingo de todos? Às vezes é extorsão direta: pague-nos, ou continuamos com o ataque.

Às vezes é dano reputacional, porque uma blockchain que não consegue se manter ativa não pode hospedar com credibilidade o tipo de aplicativos que as pessoas querem construir. Às vezes é manipulação de mercado, onde uma experiência de usuário quebrada cria preços estranhos, liquidações atrasadas e desvios forçados que recompensam quem está posicionado para o caos.

Na versão on-chain do spam, o objetivo pode ser direto: vencer o mint, vencer a negociação, vencer a liquidação, vencer o espaço no bloco.

O que mudou agora é que a Solana construiu mais maneiras de recusar o convite.

As mudanças de design que mantiveram a Solana funcionando

A Solana tornou-se melhor em permanecer online ao mudar onde a dor aparece. Em 2022, as falhas tinham um formato familiar: pedidos recebidos demais, sobrecarga de recursos nos nós, pouca capacidade de desacelerar agentes maliciosos e efeitos colaterais que transformavam a congestão em problemas de disponibilidade.

As atualizações mais importantes estão na borda da rede, onde o tráfego atinge validadores e líderes. Uma delas é a transição para o QUIC para comunicação de rede, que a Solana depois listou como parte do seu trabalho de estabilidade, junto com mercados locais de taxas e qualidade de serviço ponderada por stake.

O QUIC não é mágico, mas foi criado para conexões controladas e multiplexadas, em vez dos padrões de conexão antigos que tornam o abuso barato.

Mais importante ainda, a documentação do lado do validador da Solana descreve como o QUIC é usado dentro do caminho da Unidade de Processamento de Transações: limites de conexões QUIC simultâneas por identidade de cliente, limites de fluxos simultâneos por conexão e limites que escalam com o stake do remetente. Também descreve a limitação de taxa de pacotes por segundo aplicada com base no stake, e observa que o servidor pode encerrar fluxos com um código de limitação, esperando que os clientes recuem.

Isso transforma “spam” em “spam que é empurrado para a faixa lenta”. Não basta mais ter largura de banda e uma botnet, pois agora é preciso acesso privilegiado à capacidade do líder, ou competir por uma fatia mais estreita dela.

O guia do desenvolvedor da Solana para QoS ponderada por stake deixa isso claro: com o recurso ativado, um validador com 1% do stake tem o direito de transmitir até 1% dos pacotes para o líder. Isso impede que remetentes com pouco stake inundem todos os outros e aumenta a resistência a Sybil.

Em outras palavras, o stake torna-se uma espécie de reivindicação de largura de banda, não apenas peso de voto.

Depois há o lado das taxas, onde a Solana tenta evitar que “um aplicativo barulhento arruíne toda a cidade”. Mercados locais de taxas e taxas de prioridade dão aos usuários uma maneira de competir por execução sem transformar cada momento movimentado em um leilão em toda a blockchain.

A documentação de taxas da Solana explica como as taxas de prioridade funcionam por meio de unidades de computação, com os usuários podendo definir um limite de unidades de computação e um preço opcional por unidade, que funciona como uma gorjeta para incentivar a priorização. Também observa um detalhe prático: a taxa de prioridade é baseada no limite de unidades de computação solicitado, não no que foi realmente usado, então configurações descuidadas podem significar pagar por capacidade não utilizada.

Isso precifica comportamentos computacionalmente pesados e dá à rede um ajuste para tornar o abuso mais caro onde dói.

Juntando todas essas peças, obtém-se um modo de falha diferente. Em vez de uma enxurrada de ruído de entrada levando os nós a espirais de morte por memória, a rede tem mais maneiras de limitar, priorizar e conter.

A própria Solana, olhando para a era de 2022, enquadrou o QUIC, os mercados locais de taxas e o QoS ponderado por stake como passos concretos para evitar que a confiabilidade fosse sacrificada pela velocidade.

É por isso que um fim de semana em escala de terabits pode passar sem consequências reais: a blockchain tem mais “nãos” automáticos na porta de entrada e mais maneiras de manter a fila andando para usuários que não estão tentando quebrá-la.

Nada disso significa que a Solana é imune a dias ruins. Mesmo quem comemora o caso dos 6 Tbps discute o que o número significa e quanto tempo durou, o que é uma forma educada de dizer que medições na internet são bagunçadas e direitos de se gabar não vêm com relatório de auditoria.

E os trade-offs não desaparecem. Um sistema que atrela melhor tratamento de tráfego ao stake é, por design, mais amigável a operadores bem capitalizados do que a validadores amadores. Um sistema que permanece rápido sob carga ainda pode se tornar um local para bots dispostos a pagar.

Ainda assim, o fato de a rede ter permanecido silenciosa importa. As interrupções anteriores da Solana não foram “as pessoas notaram um pouco de latência”. A produção de blocos cessou completamente, seguida de reinicializações públicas e longas janelas de coordenação, incluindo a paralisação de abril de 2022 que levou horas para ser resolvida.

Em contraste, a história desta semana é que a blockchain permaneceu ativa enquanto o tráfego supostamente atingiu uma escala mais comum nos relatórios de ameaças da Cloudflare do que no folclore cripto.

A Solana está se comportando como uma rede que espera ser atacada e decidiu que o atacante deve ser o primeiro a se cansar.

O post How Solana neutralized a 6 Tbps attack using a specific traffic-shaping protocol that makes spam impossible to scale apareceu primeiro em CryptoSlate.