Solana生态系统的用户可以感谢Neodyme的安全专家团队,他们检测并修复了一个允许任何人每秒从多个协议中窃取数千美元的错误。他们检测并修复了一个允许任何人每秒钟从多个协议中窃取数千美元的错误。
一个报告了但从未修复的错误
Neodyme是一个网络安全研究团队,拥有各种技术的专业知识,包括区块链和智能合约。Neodyme在其博客上发表的一份声明中透露,它最近在Solana程序库(SPL)协议中发现了一个关键缺陷。
该漏洞最初是由Neodyme团队的一名研究员在去年6月发现的,并在GitHub上公开。然而,他解释说,当时不可能确定该漏洞是否可以利用。因此,它没有被人注意到。
然而,12月1日,同一研究人员发现,该缺陷仍然存在,而且没有采取任何措施来纠正它。此外,它还威胁到Solana生态系统(SOL)中的许多协议,如Tulip协议的收益汇总器以及Solend和Larix借贷平台。目前管理17亿美元资金的项目。
因此,Neodyme团队进行了一系列的测试,检查这个缺陷是否可以被利用,并最终修复。根据新闻稿,研究人员的工作和有关协议团队的贡献使得迅速纠正情况和保护用户成为可能。但是,这个错误是什么,会发生什么?
越来越多的问题不断堆积在Solana上。
他们的区块链又出现了一个bug,导致了大约26亿美元的损失风险。
不要误会我的意思,但是用错误的信息散布关于CardanoADA的谣言是可以的,但是Solana一切都很好 Crypto
-Dom的加密货币(@Doms_Crypto) December 4, 2021
一个简单的四舍五入错误…
在其余的发布内容中,Neodymium解释了威胁到Solana程序库的错误是如何工作的。简单地说,当你在协议上存入资金时,你的资产价值会随着时间而变化。在提款时,它可能在小数点后有许多数字。这就是为什么一些协议依靠SPL将返回的金额四舍五入到最近的小数位。
考虑到索拉纳生态系统中最小的参考单位。它被称为Lamport,价值0.000000001 SOL(与比特币中最小的单位Satoshi的原理相同)。如果你在贷款协议中存入1.5兰波特的金额,那么你在提款时将收到2兰波特。反之,如果这笔钱在提款时只值1.4兰姆波特,那么你将只收到1兰姆波特。平均而言,这应该通过创造与删除同样多的价值来实现平衡。
然而,研究人员表明,通过非常快速地操作这个系统,有可能在每次存款和取款时收回微小的资金。通过多次重复操作,回收的总金额可能真的很可观。
关注我们,了解最新的crypto新闻!
我们分享关于defi nft 区块链 metaverse 比特币 的知识。btc eth ethereum shib shibarmy doge等等! pic.twitter.com/W7ZAq2Gyki
– Altention (@Altention_coin) 12月4日, 2021
这可能会花费数亿美元!
在复制的区块链上测试他们的理论,Neodyme专家成功盗取了0.000001 BTC(0.047美元)。他们估计,他们可以在一个交易中执行这个错误150到200次,并将其中几个交易放在一个区块中。因此,这样的策略可以以每秒7500美元,或每小时2700万美元的速度窃取资金。
至于可能被盗的总金额,这显然取决于该漏洞在被注意到和保护措施到位之前被利用了多长时间:
。
攻击会持续几天,所以在被注意到的时候可能已经中断了。但这真的很难注意到,我们不确定是否有人有足够的监督,特别是当攻击是缓慢而谨慎地进行时,”该声明说,
。
Neodyme团队的研究发现,有六种协议可能存在漏洞的风险:Larix、Tulip、Port、Solend、Soda和Acumen。所管理的资产总值,也就是所面临的风险,约为17亿美元。并非所有的人都真正面临风险,但Neodyme估计,潜在的利润仍有数亿美元。
