Die Nutzer des Solana-Ökosystems können sich beim Team der Sicherheitsexperten von Neodyme bedanken. Sie haben nämlich einen Fehler entdeckt und dann behoben, der es jedem ermöglichte, Tausende von Dollar pro Sekunde aus mehreren Protokollen zu stehlen.
Ein Fehler, der verschoben, aber nie behoben wurde
Neodyme ist ein Team von Cybersicherheitsforschern, das aus Experten besteht, die sich auf verschiedene Technologien spezialisiert haben, darunter Blockchain und Smart Contracts. In einer Mitteilung auf ihrem Blog enthüllte Neodyme, dass sie kürzlich eine kritische Schwachstelle im Solana Program Library (SPL)-Protokoll entdeckt hatten.
Man erfährt, dass der Fehler ursprünglich im Juni von einem Forscher aus dem Neodyme-Team entdeckt und auf GitHub öffentlich gemacht worden war. Er erklärt jedoch, dass es zu diesem Zeitpunkt nicht möglich war, festzustellen, ob der Fehler ausgenutzt werden konnte. Dieser war daher unbemerkt geblieben.
Am 1. Dezember stellte der Forscher jedoch fest, dass die Schwachstelle immer noch vorhanden war und nichts unternommen worden war, um sie zu beheben. Darüber hinaus bedrohte die Lücke zahlreiche Protokolle des Solana-Ökosystems (SOL), wie z. B. den Renditeaggregator Tulip Protocol und die Kreditplattformen Solend und Larix. Projekte, die derzeit Gelder in Höhe von 1,7 Milliarden US-Dollar verwalten.
Das Team von Neodyme führte daher eine Reihe von Tests durch, um zu prüfen, ob die Schwachstelle ausgenutzt werden kann, und um sie möglicherweise zu beheben. Laut der Pressemitteilung konnte die Situation dank der Arbeit der Forscher und des Beitrags der Teams der betroffenen Protokolle schnell behoben und die Nutzer in Sicherheit gebracht werden. Aber was war das für ein Fehler und was hätte passieren können?
Mehr und mehr Probleme bleiben auf Solana hängen.
Ein weiterer Fehler in ihrer Blockchain, der zu einem Risiko eines Verlustes rund um einen Verstand von 2,6Bn USD führt .
Don’t get me wrong, but spreading FUD about CardanoADA with wrong information is fine but all is good with Solana Crypto
– Dom’s Crypto (@Doms_Crypto) December 4, 2021
Ein einfacher Rundungsfehler…
Im weiteren Verlauf der Pressemitteilung erklärt Neodyme, wie der Fehler, der die Solana Program Library bedrohte, funktionierte. Vereinfacht gesagt: Wenn Sie Geld in ein Protokoll einzahlen, ändert sich der Wert Ihres Vermögens im Laufe der Zeit. Zum Zeitpunkt der Abhebung kann er viele Stellen hinter dem Komma umfassen. Aus diesem Grund verlassen sich einige Protokolle auf SPL, um den zurückgegebenen Betrag auf die nächste Dezimalstelle zu runden.
Betrachten wir die kleinste Referenzeinheit des Solana-Ökosystems. Diese wird Lamport genannt und hat einen Wert von 0,000000001 SOL (das ist das gleiche Prinzip wie ein Satoshi, die kleinste Einheit von Bitcoin). Wenn Sie einen Betrag von 1,5 Lamport in ein Kreditprotokoll einzahlen, dann erhalten Sie bei der Auszahlung 2 Lamport. Umgekehrt, wenn dieser Betrag bei der Auszahlung nur noch 1,4 Lamport wert ist, erhalten Sie nur 1 Lamport. Im Durchschnitt sollte sich dies ausgleichen, indem genauso viel Wert geschaffen wie vernichtet wird.
Die Forscher haben jedoch nachgewiesen, dass es möglich ist, bei jeder Einzahlung und Abhebung von Geld winzige Beträge zu erhalten, wenn man das System sehr schnell ausnutzt. Wenn man diesen Vorgang viele Male wiederholt, könnte die Gesamtsumme, die man zurückbekommt, wirklich groß sein.
solana Fehler behoben!sol Holder are safe!
Folgen Sie uns, um mit den aktuellsten crypto Nachrichten auf dem Laufenden zu bleiben!
Wir teilen das Wissen über defi nft blockchain metaverse bitcoin btc eth ethereum shib shibarmy doge und mehr! pic.twitter.com/W7ZAq2Gyki
– Altention (@Altention_coin) December 4, 2021
Das hätte Hunderte von Millionen Dollar kosten können!
Indem sie ihre Theorie an einer Nachbildung der Blockchain testeten, gelang es den Experten von Neodyme, 0,000001 BTC (0,047 $) zu stehlen. Sie schätzten, dass sie diesen Bug 150 bis 200 Mal in einer einzigen Transaktion ausführen und mehrere dieser Transaktionen in einen einzigen Block packen konnten. Somit hätte man mit einer solchen Strategie Gelder mit einer Geschwindigkeit von 7500 Dollar pro Sekunde oder 27 Millionen Dollar pro Stunde stehlen können.
Was die Gesamtsumme betrifft, die hätte gestohlen werden können, so hängt dies natürlich davon ab, wie lange die Sicherheitslücke ausgenutzt wurde, bevor sie bemerkt und Schutzmaßnahmen ergriffen wurden:
Der Angriff hätte mehrere Tage gedauert, sodass er zum Zeitpunkt, an dem er bemerkt wird, hätte abgebrochen werden können. Aber es ist wirklich schwer zu bemerken, und wir sind nicht sicher, ob jemand über eine ausreichende Überwachung verfügt, insbesondere wenn der Angriff langsam und sorgfältig durchgeführt wird“, heißt es in der Erklärung.
Die Untersuchungen des Neodyme-Teams haben sechs Protokolle identifiziert, die potenziell von dieser Schwachstelle bedroht sind: Larix, Tulip, Port, Solend, Soda und Acumen. Der Gesamtwert der verwalteten und damit gefährdeten Vermögenswerte beläuft sich auf etwa 1,7 Milliarden US-Dollar. Da nicht alle wirklich gefährdet sind, schätzt Neodyme, dass sich der potenzielle Gewinn dennoch auf mehrere hundert Millionen Dollar beläuft.
