Пользователи экосистемы Solana могут поблагодарить команду экспертов по безопасности из Neodyme за обнаружение и исправление ошибки, которая позволяла любому желающему красть тысячи долларов в секунду из нескольких протоколов. Они обнаружили и исправили ошибку, которая позволяла любому человеку красть тысячи долларов в секунду из нескольких протоколов.
Об ошибке сообщили, но так и не исправили
Neodyme — это команда исследователей кибербезопасности с опытом работы в различных технологиях, включая блокчейн и смарт-контракты. В заявлении, опубликованном в своем блоге, компания Neodyme сообщила, что недавно обнаружила критический недостаток в протоколе Solana Program Library (SPL).
Изначально ошибка была обнаружена в июне прошлого года исследователем из команды Neodyme и обнародована на GitHub. Однако он объясняет, что в то время невозможно было определить, является ли ошибка эксплуатируемой. Поэтому он остался незамеченным.
Однако 1 декабря тот же исследователь обнаружил, что недостаток все еще присутствует и что ничего не было сделано для его устранения. Более того, он угрожал многим протоколам экосистемы Solana (SOL), таким как агрегатор доходности Tulip Protocol и платформы кредитования Solend и Larix. Проекты, которые в настоящее время управляют средствами в размере 1,7 млрд. долл.
Поэтому команда Neodyme провела серию тестов, чтобы проверить, можно ли использовать этот недостаток и в конечном итоге исправить его. Согласно пресс-релизу, работа исследователей и вклад команд соответствующих протоколов позволили быстро исправить ситуацию и защитить пользователей. Но что это была за ошибка и что могло произойти?
Все больше и больше проблем накапливается на Solana
Еще одна ошибка в их блокчейне, ведущая к риску потери около умопомрачительных 2,6 млрд. долларов США
Не поймите меня неправильно, но распространение FUD о CardanoADA с неверной информацией — это прекрасно, но все хорошо с Solana Crypto
— Dom’s Crypto (@Doms_Crypto) December 4, 2021
Простая ошибка округления…
В остальной части выпуска Неодим объясняет, как сработала ошибка, угрожавшая библиотеке программы Солана. Проще говоря, когда вы вносите средства в протокол, стоимость ваших активов со временем меняется. На момент снятия средств он может иметь много цифр после запятой. Вот почему некоторые протоколы полагаются на SPL для округления возвращаемой суммы до ближайшего десятичного знака.
Рассмотрим самую маленькую опорную единицу в экосистеме Солана. Он называется Lamport и стоит 0,000000001 SOL (по тому же принципу, что и сатоши, самая маленькая единица в Биткойне). Если вы внесете в кредитный протокол сумму в 1,5 лямпорта, то при снятии вы получите 2 лямпорта. И наоборот, если при снятии эта сумма будет стоить только 1,4 Лампорта, вы получите только 1 Лампорт. В среднем, это должно уравновешиваться тем, что создается столько же ценностей, сколько удаляется.
Однако исследователи показали, что, работая с этой системой очень быстро, можно возвращать крошечные суммы денег при каждом пополнении и снятии средств. Повторяя операцию много раз, общая сумма возмещения может быть действительно значительной.
solana ошибка исправлена! sol держатели в безопасности!
Следите за нами, чтобы быть в курсе самых свежих новостей crypto!
Мы делимся знаниями о defi nft blockchain metaverse bitcoin btc eth ethereum shib shibarmy doge и многое другое! pic.twitter.com/W7ZAq2Gyki
— Altention (@Altention_coin) Декабрь 4, 2021
Это могло стоить сотни миллионов долларов!
Проверяя свою теорию на реплике блокчейна, экспертам Neodyme удалось украсть 0,000001 BTC ($0,047). Они подсчитали, что могут выполнить эту ошибку 150-200 раз в одной транзакции и поместить несколько таких транзакций в один блок. Таким образом, такая стратегия может похищать средства со скоростью 7 500 долларов в секунду, или 27 миллионов долларов в час.
Что касается общей суммы, которая могла быть похищена, то она, очевидно, зависит от того, как долго эксплуатировался недостаток, прежде чем его заметили и установили защиту:
Атака продолжалась бы несколько дней, поэтому она могла быть прервана к тому времени, когда ее заметили. Но это очень трудно заметить, и мы не уверены, что кто-то имеет достаточный контроль, особенно когда атака осуществляется медленно и осторожно», — говорится в заявлении.
Исследование команды Neodyme выявило шесть протоколов, потенциально подверженных риску нарушения: Larix, Tulip, Port, Solend, Soda и Acumen. Общая стоимость активов, находящихся под управлением и, следовательно, подверженных риску, составляет приблизительно 1,7 миллиарда долларов США. Не все из них действительно подвергались риску, но, по оценкам Neodyme, потенциальная прибыль все равно исчислялась сотнями миллионов долларов.
