Gli utenti dell’ecosistema Solana possono ringraziare il team di esperti di sicurezza di Neodyme per aver individuato e corretto un bug che permetteva a chiunque di rubare migliaia di dollari al secondo da più protocolli. Hanno individuato e risolto un bug che permetteva a chiunque di rubare migliaia di dollari al secondo da più protocolli.
Un bug segnalato ma mai risolto
Neodyme è un team di ricercatori di cybersecurity con esperienza in una varietà di tecnologie, tra cui blockchain e contratti intelligenti. In una dichiarazione pubblicata sul suo blog, Neodyme ha rivelato che ha recentemente scoperto una falla critica nel protocollo Solana Program Library (SPL).
Il bug è stato originariamente scoperto lo scorso giugno da un ricercatore del team Neodyme e reso pubblico su GitHub. Tuttavia, spiega che in quel momento era impossibile determinare se il bug fosse sfruttabile. Era quindi passato inosservato.
Tuttavia, il 1° dicembre, lo stesso ricercatore ha scoperto che la falla era ancora presente e che nulla era stato fatto per correggerla. Inoltre, ha minacciato molti protocolli dell’ecosistema Solana (SOL), come l’aggregatore di rendimento Tulip Protocol e le piattaforme di prestito Solend e Larix. Progetti che attualmente gestiscono 1,7 miliardi di dollari di fondi.
Il team Neodyme ha quindi effettuato una serie di test per verificare se questa falla poteva essere sfruttata ed eventualmente corretta. Secondo il comunicato stampa, il lavoro dei ricercatori e il contributo delle squadre dei protocolli interessati ha permesso di correggere rapidamente la situazione e di proteggere gli utenti. Ma qual era il bug e cosa sarebbe potuto succedere?
Sempre più problemi si accumulano su Solana
Un altro bug nella loro blockchain che porta al rischio di una perdita di circa 2,6 miliardi di dollari
Non fraintendetemi, ma diffondere FUD su CardanoADA con informazioni sbagliate va bene ma tutto va bene con Solana
– Dom’s Crypto (@Doms_Crypto) December 4, 2021
Un semplice errore di arrotondamento…
Nel resto del comunicato, Neodymium spiega come funzionava il bug che minacciava la biblioteca del programma Solana. In poche parole, quando depositi dei fondi su un protocollo, il valore del tuo patrimonio cambia nel tempo. Al momento del ritiro, può avere molte cifre dopo il punto decimale. Questo è il motivo per cui alcuni protocolli si basano su SPL per arrotondare l’importo restituito al decimale più vicino.
Consideriamo la più piccola unità di riferimento nell’ecosistema Solana. Si chiama Lamport e vale 0,000000001 SOL (lo stesso principio di un satoshi, l’unità più piccola in Bitcoin). Se depositi un importo di 1,5 Lamport in un protocollo di prestito, allora riceverai 2 Lamport al momento del ritiro. Al contrario, se questo importo vale solo 1,4 Lamport al momento del ritiro, riceverai solo 1 Lamport. In media, questo dovrebbe bilanciare creando tanto valore quanto ne toglie.
Tuttavia, i ricercatori hanno dimostrato che facendo funzionare questo sistema molto velocemente, è possibile recuperare piccole quantità di denaro ad ogni deposito e ritiro. Ripetendo l’operazione molte volte, l’importo totale recuperato potrebbe essere davvero significativo.
solana bug risolto! sol i titolari sono al sicuro!
Seguiteci per stare al passo con le notizie più aggiornate di crypto!
Condividiamo la conoscenza su defi nft blockchain metaverse bitcoin btc eth ethereum shib shibarmy doge e altro! pic.twitter.com/W7ZAq2Gyki
– Altention (@Altention_coin) December 4, 2021
Che poteva costare centinaia di milioni di dollari!
Testando la loro teoria su una blockchain replica, gli esperti di Neodyme sono riusciti a rubare 0,000001 BTC ($0,047). Hanno stimato che potrebbero eseguire questo bug da 150 a 200 volte in una singola transazione e mettere diverse di queste transazioni in un unico blocco. Così, una tale strategia potrebbe rubare fondi ad un tasso di 7.500 dollari al secondo, o 27 milioni di dollari all’ora.
Per quanto riguarda l’importo totale che potrebbe essere stato rubato, questo dipende ovviamente da quanto tempo la falla è stata sfruttata prima di essere notata e le protezioni sono state messe in atto:
L’attacco sarebbe durato diversi giorni, quindi potrebbe essere stato interrotto nel momento in cui è stato notato. Ma è davvero difficile da notare, e non siamo sicuri che qualcuno abbia una supervisione sufficiente, soprattutto quando l’attacco viene effettuato lentamente e con attenzione”, ha detto la dichiarazione.
La ricerca del team Neodyme ha identificato sei protocolli potenzialmente a rischio di violazione: Larix, Tulip, Port, Solend, Soda e Acumen. Il valore totale delle attività in gestione, e quindi a rischio, è di circa 1,7 miliardi di dollari. Non tutti erano effettivamente a rischio, ma Neodyme stima che il profitto potenziale era ancora in centinaia di milioni di dollari.
