Gebruikers van het Solana ecosysteem kunnen het team van beveiligingsexperts bij Neodyme bedanken voor het opsporen en repareren van een bug die iedereen in staat stelde om duizenden dollars per seconde te stelen van meerdere protocollen. Zij ontdekten en repareerden een bug waardoor iemand duizenden dollars per seconde kon stelen van meerdere protocollen.
Een bug gemeld maar nooit opgelost
Neodyme is een team van cyberbeveiligingsonderzoekers met expertise in verschillende technologieën, waaronder blockchain en slimme contracten. In een verklaring op zijn blog heeft Neodyme bekendgemaakt dat het onlangs een kritieke fout heeft ontdekt in het Solana Program Library (SPL)-protocol.
De bug werd vorig jaar juni ontdekt door een onderzoeker van het Neodyme-team en openbaar gemaakt op GitHub. Hij legt echter uit dat het op dat moment onmogelijk was om te bepalen of de bug exploiteerbaar was. Het was dus onopgemerkt gebleven.
Op 1 december stelde dezelfde onderzoeker echter vast dat de tekortkoming nog steeds aanwezig was en dat er niets was gedaan om deze te verhelpen. Bovendien bedreigt het vele protocollen in het Solana-ecosysteem (SOL), zoals de Tulip Protocol yield aggregator en de Solend en Larix lending platforms. Projecten die momenteel 1,7 miljard dollar aan fondsen beheren.
Het Neodyme-team heeft daarom een reeks tests uitgevoerd om na te gaan of deze tekortkoming kon worden uitgebuit en uiteindelijk verholpen. Volgens het persbericht hebben het werk van de onderzoekers en de bijdrage van de teams van de betrokken protocollen het mogelijk gemaakt de situatie snel recht te zetten en de gebruikers te beschermen. Maar wat was de bug en wat kon er gebeurd zijn?
Meer en meer problemen blijven zich opstapelen op Solana
Nog een bug in hun blockchain die leidt tot een risico op een verlies van ongeveer 2,6Bn USD
Begrijp me niet verkeerd, maar FUD verspreiden over CardanoADA met verkeerde informatie is prima, maar alles is goed met Solana Crypto
– Dom’s Crypto (@Doms_Crypto) December 4, 2021
Een simpele afrondingsfout…
In de rest van het bericht legt Neodymium uit hoe de bug werkte die de Solana Program Library bedreigde. Eenvoudig gezegd: wanneer u geld stort op een protocol, verandert de waarde van uw activa in de loop van de tijd. Op het moment van intrekking kan het veel cijfers achter de komma bevatten. Daarom vertrouwen sommige protocollen op SPL om het geretourneerde bedrag af te ronden op het dichtstbijzijnde cijfer achter de komma.
Beschouw de kleinste referentie-eenheid in het Solana-ecosysteem. Het wordt Lamport genoemd en is 0,000000001 SOL waard (hetzelfde principe als een satoshi, de kleinste eenheid in Bitcoin). Als u een bedrag van 1,5 Lamport stort in een leenprotocol, dan krijgt u bij uitbetaling 2 Lamport. Omgekeerd, als dit bedrag bij opname slechts 1,4 Lamport waard is, ontvangt u slechts 1 Lamport. Gemiddeld genomen zou dit in evenwicht moeten zijn door evenveel waarde te creëren als te verwijderen.
Onderzoekers hebben echter aangetoond dat door dit systeem zeer snel te laten werken, het mogelijk is om bij elke storting en opname minieme bedragen terug te vorderen. Door de operatie vele malen te herhalen, kan het totaal teruggewonnen bedrag echt aanzienlijk zijn.
solana bug gerepareerd! sol houders zijn veilig!
Volg ons om op de hoogte te blijven van het meest actuele crypto nieuws!
Wij delen de kennis over defi nft blockchain metaverse bitcoin btc eth ethereum shib shibarmy doge en meer! pic.twitter.com/W7ZAq2Gyki
– Altention (@Altention_coin) December 4, 2021
Dat had honderden miljoenen dollars kunnen kosten!
Bij het testen van hun theorie op een replica blockchain, slaagden Neodyme experts erin om 0.000001 BTC ($0.047) te stelen. Zij schatten dat zij deze bug 150 tot 200 keer in een enkele transactie konden uitvoeren en verschillende van deze transacties in een enkel blok konden stoppen. Een dergelijke strategie zou dus fondsen kunnen stelen tegen een snelheid van $7.500 per seconde, of $27 miljoen per uur.
Het totale bedrag dat kan zijn gestolen, hangt uiteraard af van hoe lang de fout werd misbruikt voordat hij werd opgemerkt en er beschermingsmaatregelen werden getroffen:
De aanval zou enkele dagen geduurd hebben, dus ze zou al onderbroken kunnen zijn tegen de tijd dat ze opgemerkt werd. Maar het is echt moeilijk op te merken, en we zijn er niet zeker van dat iemand voldoende overzicht heeft, vooral wanneer de aanval langzaam en zorgvuldig wordt uitgevoerd,” aldus de verklaring.
Het onderzoek van het Neodyme-team heeft zes protocollen geïdentificeerd die mogelijk gevaar lopen door de inbreuk: Larix, Tulip, Port, Solend, Soda en Acumen. De totale waarde van de beheerde activa, en dus de risicodragende activa, bedraagt ongeveer 1,7 miljard dollar. Ze liepen niet allemaal gevaar, maar Neodyme schat dat de potentiële winst nog steeds in de honderden miljoenen dollars liep.
