Se ha informado de un error pero no se ha solucionado
Neodyme es un equipo de Investigadores de ciberseguridadEstá compuesto por expertos que se especializan en diversas tecnologías, incluidas blockchain y contratos inteligentes. En un comunicado de prensa publicado en su blog, Neodyme reveló que recientemente hizo Detectar un defecto fatal en el protocolo de la biblioteca de programas de Solana (SPL).
Sabemos que el error estuvo en el principio Descubierto el pasado mes de junio Por un investigador del equipo de Neodyme y publicado en GitHub. Sin embargo, explica que en ese momento era imposible determinar si el error era explotable. Así que pasó desapercibido.
Sin embargo, el 1 de diciembre, este mismo investigador encontró que el bicho aun estaba ahi Y no se ha hecho nada para corregirlo. Además, ha amenazado varios protocolos en el ecosistema de Solana (SOL), como el Protocolo de tulipanes de rendimiento complejo y las plataformas de préstamos Solend y Larix. Proyectos actualmente en ejecución $ 1.7 mil millones en fondos.
Entonces, el equipo de Neodyme realizó una serie de pruebas para verificar si esta falla es explotable o no. Tal vez lo arregle. Según el comunicado de prensa, el trabajo de los investigadores y la contribución de los equipos de protocolo relevantes corregir rápidamente la situación y proteger a los usuarios. Pero, ¿qué es este error y qué puede pasar?
Sobre el mismo tema: la firma de auditoría CertiK recaudó $ 80 millones para continuar asegurando el ecosistema
Solo una mala aproximación…
Además del comunicado de prensa, Neudem explica como funciona el error Quien amenazó la biblioteca del programa Solana. En pocas palabras, cuando deposita fondos en un protocolo, el valor de sus activos cambia con el tiempo. En el momento del sorteo, puede contener muchos dígitos después del punto decimal. Esta es la razón por la que algunos protocolos se basan en SPL para aproximar Importe devuelto a un decimal.
consideremos unidad de referencia más pequeña para el ecosistema Solana. Esto se llama Lamport y tiene un valor de 0.000000001 SOL (el mismo principio que el satoshi, la unidad más pequeña de Bitcoin). si depositas 1.5 lambrete cantidad En el protocolo de préstamo, Entonces recibirás 2 Lamport al retirar. Por el contrario, si esta cantidad es igual a solo 1.4 Lamport al retirar, recibirá solo 1 Lamport. En promedio, esto debería equilibrar tanto la creación de valor como la que quita.
Sin embargo, los investigadores explicaron que al explotar este sistema muy rápidamente, fue posible Reembolso de pequeña cantidad Con cada depósito y retiro de fondos. Repitiendo el proceso varias veces, la cantidad total recuperada puede ser realmente grande.
¡Esto podría haber costado cientos de millones de dólares!
Al probar su teoría en una réplica de la cadena de bloques, los expertos de Neodyme lo han logrado para robar 0.000001 BTC ($0.047). Estimaron que podrían desencadenar este error 150-200 veces en una sola transacción y colocar muchas de estas transacciones en un bloque. Por lo tanto, tal estrategia puede robar dinero a una tasa de $7500 por segundo, o 27 millones por hora.
En cuanto a la cantidad total que se puede robar, obviamente depende de tiempo de ejecución Violación antes de que se notara y se colocaran garantías:
El ataque podría haber durado varios días, por lo que podría haberse detenido en el momento en que se notó. Pero es realmente difícil saberlo, y no estamos seguros de que alguien tenga suficiente supervisión, especialmente cuando el ataque se lleva a cabo de manera lenta y cuidadosa”.
Seleccione la investigación realizada por el equipo de Neodyme 6 protocolos que están potencialmente en riesgo Debido a este error: Larix, Tulip, Port, Solend, Soda y Acumen. El valor total de los activos bajo administración, y por lo tanto en riesgo, Casi $ 1.7 mil millones. No todos están en peligro real, Neudem estima que la ganancia potencial aún podría ser de varios cientos de millones de dólares.
👉 En el futuro: SafeDollar ‘estable’ cae a cero después de explotar una vulnerabilidad en su protocolo
