Внезапные взломы и сетевые эксплойты доминировали над шумом в индустрии криптовалют, и не зря. Приложения DeFi теперь потерял более 2 миллиардов долларов все благодаря таким взломам. Только последняя на этой неделе принесла 120 миллионов долларов.
Кроме того, еще миллиарды могли быть потеряны из-за Solana по словам исследователей безопасности в Neodyme, если не была обнаружена недавно исправленная ошибка.
В недавнем Сообщение блога, исследователи обнаружили, что ошибка в Solana Библиотека протоколов (SPL), могла позволить злоумышленникам украсть деньги у нескольких Solana проекты из расчета 27 миллионов долларов в час. Общая сумма риска составила 2,6 миллиарда долларов. SPL — это набор справочных документов для Solana проекты.
Потенциальные цели, которые могли быть затронуты, включают агрегатор доходности Tulip Protocol и протоколы кредитования Solend, Soda и Larix, каждый из которых имеет миллионы долларов в TVL.
Все началось в июне этого года, когда исследователь по имени Саймон впервые обнаружил ошибку и поднял вопрос на Github. Поскольку в то время ошибка не представляла непосредственного риска, она осталась практически незамеченной. Однако, когда 1 декабря исследователь снова рассмотрел проблему, выяснилось, что она не решена и не исправлена.
Затем исследователи начали проверять возможности использования ошибки и оценивать потенциальный ущерб, который она может нанести. Первоначально это рассматривалось как «на первый взгляд безобидная ошибка округления», но позже было обнаружено, что она потенциально способна украсть крупную сумму посредством бесконечных крошечных транзакций.
Это потому, что эти приложения на Solana которые используют справочные документы SPL, округляют средства до ближайшего целого числа в момент снятия средств в случае, если пользователю причиталась часть наименьшей справочной единицы. Это приведет к тому, что пользователи получат или потеряют очень небольшую часть своих средств. Хотя в отдельности это могло бы казаться незначительным, то же самое могло бы составить целое состояние, если бы оно было перекачано одной сущностью.
После тестирования исследователи подсчитали, что они могут выполнить эту ошибку 150-200 раз за одну транзакцию и поместить многие из этих транзакций в один блок. Они посчитали, что такой эксплойт может украсть средства со скоростью 7500 долларов в секунду или 27 миллионов долларов в час.
Как только возможность эксплойта была подтверждена, Neodyme связался с несколькими Solana проекты, которые могли быть затронуты ошибкой. Поскольку большинство из них находятся в близком источнике, задача действительно сопряжена с определенными трудностями. Однако им удалось связаться с некоторыми известными проектами, которые исправили ошибку, в то время как Solana Лаборатория также исправила справочную документацию, чтобы гарантировать, что новые проекты, следующие за SPL, не будут повторно вводить ошибку.
