Como a Solana neutralizou um ataque de 6 Tbps usando um protocolo específico de modelagem de tráfego que torna impossível escalar spam

Quando uma rede se gaba de sua capacidade de processamento, na verdade está se gabando de quanto caos consegue engolir antes de engasgar. É por isso que a parte mais interessante do mais recente “teste de estresse” da Solana é que não há história alguma.

Uma rede de entrega chamada Pipe publicou dados que colocaram um recente bombardeio contra a Solana em cerca de 6 terabits por segundo, e os cofundadores da Solana confirmaram publicamente a essência dessa informação. Se o número estiver correto, é o tipo de volume de tráfego geralmente reservado para os maiores alvos da internet, o tipo de coisa sobre a qual a Cloudflare escreve longos posts em seu blog porque não deveria ser normal.

E ainda assim a Solana continuou produzindo blocos. Não houve reinicialização coordenada nem um grupo de bate-papo de validadores se transformando em um filme de desastre noturno.

O próprio relatório da CryptoSlate sobre o incidente afirmou que a produção de blocos permaneceu estável e as confirmações continuaram, sem aumento significativo nas taxas dos usuários. Houve até um contraponto nas conversas: a SolanaFloor observou que um colaborador da Anza argumentou que o número de 6 Tbps foi um pico curto, e não uma parede constante de tráfego durante uma semana, o que importa porque “pico” pode ser verdadeiro e um pouco teatral ao mesmo tempo.

Esse tipo de nuance é aceitável. Em ataques reais de negação de serviço, o pico geralmente é o objetivo, pois um golpe curto ainda pode derrubar um sistema ajustado para um estado estável.

Os relatórios de ameaças da Cloudflare apontam quantos ataques grandes terminam rapidamente, às vezes rápido demais para que humanos possam reagir, por isso a defesa moderna deve ser automática. O mais recente incidente da Solana agora mostra uma rede que aprendeu a tornar o spam entediante.

Que tipo de ataque foi esse, e o que os atacantes realmente querem?

Um DDoS é a arma mais grosseira, porém mais eficaz, da internet: sobrecarregar o tráfego normal de um alvo inundando-o com tráfego inútil de várias máquinas ao mesmo tempo. A definição da Cloudflare é direta; é uma tentativa maliciosa de interromper o tráfego normal sobrecarregando o alvo ou a infraestrutura próxima com uma enxurrada de tráfego da internet, normalmente originada de sistemas comprometidos.

Essa é a versão web2, e é a versão que a Pipe está sugerindo com um gráfico de terabits por segundo. Redes cripto adicionam um segundo sabor, mais nativo do universo cripto: spam que não é “pacotes inúteis em um site”, mas sim “transações intermináveis em uma blockchain”, muitas vezes porque há dinheiro do outro lado da congestão.

O próprio histórico de falhas da Solana é quase um manual desse problema de incentivo. Em setembro de 2021, a rede ficou offline por mais de 17 horas, e o primeiro relatório pós-morte da Solana enquadrou a enxurrada de transações geradas por bots como, de fato, um evento de negação de serviço ligado a um IDO hospedado pela Raydium.

Em abril de 2022, o relatório oficial de falha da Solana descreveu uma parede ainda mais intensa de transações recebidas, 6 milhões por segundo, com nós individuais vendo mais de 100 Gbps. O relatório afirmou que não havia evidências de uma campanha clássica de negação de serviço, e que as impressões digitais pareciam bots tentando ganhar uma mintagem de NFT onde o primeiro a chamar leva o prêmio.

Nesse dia, a rede parou de produzir blocos e precisou coordenar uma reinicialização.

Então, o que os atacantes querem, além de atenção e da satisfação de arruinar o domingo de todos? Às vezes é extorsão direta: pague-nos, ou continuamos com o ataque.

Às vezes é dano reputacional, porque uma blockchain que não consegue se manter ativa não pode hospedar com credibilidade os tipos de aplicativos que as pessoas querem construir. Às vezes é manipulação de mercado, onde uma experiência de usuário quebrada cria preços estranhos, liquidações atrasadas e desvios forçados que recompensam quem está posicionado para o caos.

Na versão de spam on-chain, o objetivo pode ser direto: ganhar a mintagem, ganhar a negociação, ganhar a liquidação, ganhar o espaço no bloco.

O que mudou agora é que a Solana construiu mais maneiras de recusar o convite.

As mudanças de design que mantiveram a Solana funcionando

A Solana ficou melhor em se manter online ao mudar onde a dor aparece. Em 2022, as falhas tinham um formato familiar: muitos pedidos recebidos, sobrecarga de recursos nos nós, pouca capacidade de desacelerar maus atores e efeitos colaterais que transformavam a congestão em problemas de disponibilidade.

As atualizações mais importantes estão na borda da rede, onde o tráfego atinge validadores e líderes. Uma delas é a transição para QUIC na comunicação de rede, que a Solana depois listou como parte de seu trabalho de estabilidade, junto com mercados de taxas locais e qualidade de serviço ponderada por stake.

QUIC não é mágica, mas foi criado para conexões controladas e multiplexadas, ao contrário dos padrões de conexão antigos que facilitam o abuso.

Mais importante, a documentação para validadores da Solana descreve como o QUIC é usado dentro do caminho da Unidade de Processamento de Transações: limites de conexões QUIC simultâneas por identidade de cliente, limites de fluxos simultâneos por conexão e limites que escalam com o stake do remetente. Também descreve limitação de taxa de pacotes por segundo baseada em stake, e observa que o servidor pode encerrar fluxos com um código de limitação, esperando que os clientes recuem.

Isso transforma “spam” em “spam que é empurrado para a faixa lenta”. Não basta mais ter largura de banda e uma botnet, pois agora é preciso acesso privilegiado à capacidade do líder, ou você estará competindo por uma fatia mais estreita dela.

O guia do desenvolvedor da Solana para QoS ponderada por stake deixa isso claro: com o recurso ativado, um validador com 1% de stake tem o direito de transmitir até 1% dos pacotes para o líder. Isso impede que remetentes com pouco stake inundem todos os outros e aumenta a resistência a Sybil.

Em outras palavras, o stake se torna uma espécie de reivindicação de largura de banda, não apenas peso de voto.

Depois há o lado das taxas, onde a Solana tenta evitar que “um aplicativo barulhento arruíne toda a cidade”. Mercados de taxas locais e taxas de prioridade dão aos usuários uma forma de competir por execução sem transformar cada momento movimentado em um leilão em toda a blockchain.

A documentação de taxas da Solana explica como as taxas de prioridade funcionam por meio de unidades de computação, com os usuários podendo definir um limite de unidades de computação e um preço opcional por unidade, que funciona como uma gorjeta para incentivar a priorização. Também observa um detalhe prático: a taxa de prioridade é baseada no limite de unidades de computação solicitado, não no que foi realmente usado, então configurações descuidadas podem significar pagar por capacidade não utilizada.

Isso precifica comportamentos computacionalmente pesados e dá à rede um botão para tornar o abuso mais caro onde dói.

Juntando tudo isso, você obtém um modo de falha diferente. Em vez de uma enxurrada de ruído recebida empurrando os nós para espirais de morte de memória, a rede tem mais maneiras de limitar, priorizar e conter.

A própria Solana, olhando para a era de 2022, enquadrou QUIC, mercados de taxas locais e QoS ponderada por stake como passos concretos para manter a confiabilidade sem sacrificar a velocidade.

É por isso que um fim de semana em escala de terabits pode passar sem consequências reais: a blockchain tem mais “nãos” automáticos na porta de entrada e mais maneiras de manter a fila andando para usuários que não estão tentando quebrá-la.

Nada disso significa que a Solana é imune a dias ruins. Mesmo pessoas comemorando o caso dos 6 Tbps discutem o que o número significa e quanto tempo durou, o que é uma forma educada de dizer que medições na internet são bagunçadas e direitos de se gabar não vêm com relatório de auditoria.

E os trade-offs não desaparecem. Um sistema que vincula melhor tratamento de tráfego ao stake é, por design, mais amigável para operadores bem capitalizados do que para validadores amadores. Um sistema que permanece rápido sob carga ainda pode se tornar um local para bots dispostos a pagar.

Ainda assim, o fato de a rede ter ficado silenciosa importa. As falhas anteriores da Solana não eram “as pessoas notaram um pouco de latência”. A produção de blocos cessava completamente, seguida de reinicializações públicas e longas janelas de coordenação, incluindo a paralisação de abril de 2022 que levou horas para ser resolvida.

Em contraste, a história desta semana é que a blockchain permaneceu ativa enquanto o tráfego supostamente atingiu uma escala mais comum nos relatórios de ameaças da Cloudflare do que no folclore cripto.

A Solana está se comportando como uma rede que espera ser atacada e decidiu que o atacante é quem deve se cansar primeiro.

O post How Solana neutralized a 6 Tbps attack using a specific traffic-shaping protocol that makes spam impossible to scale apareceu primeiro em CryptoSlate.