Solanaエコシステムのユーザーは、誰でも複数のプロトコルから毎秒数千ドルを盗むことができるバグを検出して修正したNeodymeのセキュリティ専門家チームに感謝することができます。彼らは、誰でも複数のプロトコルから1秒間に数千ドルを盗むことができるバグを検出し、修正しました。
報告されたが修正されなかったバグ
Neodymeは、ブロックチェーンやスマートコントラクトなど、さまざまな技術に精通したサイバーセキュリティ研究者のチームです。Neodyme社は、同社のブログに掲載された声明の中で、最近、Solana Program Library (SPL)プロトコルに重大な欠陥があることを発見したことを明らかにしました。
このバグは、昨年6月にNeodymeチームの研究者によって発見され、GitHubで公開されていました。しかし、その時点では、このバグが悪用可能かどうかを判断することはできなかったと説明しています。そのため、気づかれないようになっていた。
しかし、12月1日、同じ研究者が、欠陥がまだ存在し、その修正が何も行われていないことを発見しました。さらに、Tulip Protocolのイールドアグリゲーター、SolendやLarixのレンディングプラットフォームなど、Solanaエコシステム(SOL)の多くのプロトコルを脅かしました。現在17億ドルの資金を管理しているプロジェクト。
そこで、Neodymeチームは、この欠陥が悪用できるかどうかを確認するための一連のテストを行い、最終的に修正しました。プレスリリースによると、研究者の努力と関係するプロトコルのチームの貢献により、迅速に事態を修正し、ユーザーを保護することができました。しかし、そのバグは何だったのか、何が起こっていたのか。
ますます問題が山積するソラナ
ブロックチェーンにもう一つのバグが発生し、26億ドルもの損失が発生する恐れがあります。
勘違いしないでほしいのですが、CardanoADAについて間違った情報でFUDを広めるのはいいのですが、Solanaは万能ですCrypto
– Dom’s Crypto (@Doms_Crypto) 2021年12月4日です。
単純な丸め方のミスです…
リリースの残りの部分では、ネオジムがソラナプログラムライブラリを脅かすバグの仕組みを説明しています。簡単に言うと、プロトコルに資金を預けると、時間の経過とともに資産の価値が変化します。引き出し時には、小数点以下の桁数が多い場合があります。そのため、プロトコルによってはSPLに依存して、返された金額を小数点以下に丸めるものもあります。
ソラナのエコシステムにおける最小の基準単位を考えてみましょう。これはLamportと呼ばれ、0.000000001SOLの価値があります(ビットコインの最小単位であるsatoshiと同じ原理です)。ローンプロトコルに1.5Lamportの金額を預けた場合、引き出し時に2Lamportを受け取ることができます。逆に、この金額が引き出し時に1.4Lamportの価値しかない場合は、1Lamportしか受け取れません。平均的には、除去するのと同じくらいの価値を生み出すことでバランスをとることができるはずです。
しかし、研究者たちは、このシステムを非常に素早く操作することで、入出金のたびに微小な金額を回収することが可能であることを示しています。この作業を何度も繰り返すことで、回収した金額は非常に大きなものになります」
フォローして、最新のcryptoニュースをチェックしましょう!
私たちは、defi nft blockchain metaverse bitcoin の知識を共有しています。btc eth ethereum shib shibarmy doge and more! pic.twitter.com/W7ZAq2Gyki
– アルテンション(@Altention_coin)2021年12月4日。
それは何億ドルもかかったかもしれない!
レプリカのブロックチェーンで理論を試したところ、Neodymeの専門家は0.000001BTC(0.047ドル)を盗むことに成功しました。彼らは、このバグを1つのトランザクションで150~200回実行し、そのうちのいくつかのトランザクションを1つのブロックに入れることができると見積もっていました。これにより、1秒間に7,500ドル、1時間に2,700万ドルもの資金が盗まれることになります。
盗まれた可能性のある金額の合計については、欠陥に気付いて対策を講じる前に、どのくらいの期間、欠陥が利用されていたかによって異なります:
攻撃は数日間続いただろうから、気づいたときには中断していたかもしれない。しかし、それに気づくのは本当に難しく、特に攻撃がゆっくりと慎重に行われている場合には、誰もが十分な監視をしているとは言えません」と声明を発表しました。
Neodymeチームの調査では、侵害の危険性のあるプロトコルとして、Larix、Tulip、Port、Solend、Soda、Acumenの6つが挙げられています。管理している資産、つまりリスクのある資産の合計額は約17億ドルです。そのすべてが実際に危険にさらされていたわけではありませんが、それでも潜在的な利益は数億ドルに上るとNeodyme社は推定しています。