Подписывайтесь на наш Telegram канал
Новости крипторынка у вас в телефоне
Подписаться
Пицца Laszlo
10 000 BTC
Стоимость пиццы Ласло на сегодняшний день составляет:
$ 1 016 830 000
До Bitcoin Pizza Day еще 158 дней

Ошибка библиотеки Solana могла стать причиной кражи по $27 млн в час с DeFi-протоколов

  • Исследователи Neodyme обнаружили ошибку в SPL, которая могла бы позволить красть по $27 млн в час.
  • Команда обратилась к разработчикам проекта, ошибка была исправлена.

Специалисты из команды Neodyme обнаружили ошибку в библиотеке протокола Solana (SPL), которая могла стать причиной кражи средств со скоростью $27 млн в час у крупных DeFi-проектов.

В течение нескольких месяцев под угрозой находились протоколы кредитования Solend, Soda и Larix, а также агрегатор доходности Tulip Protocol. Совокупная TVL (стоимость заблокированных средств) этих проектов достигала $2.6 млрд.

Данный баг был публично раскрыт полгода назад одним из аудиторов группы под ником Simon. В начале декабря им же было обнаружено, что данная уязвимость не исправлена. 

Данная недоработка на первый взгляд казалась безобидной ошибкой округления, но эксперты компании выяснили, что из-за нее можно было бы украсть целое состояние через миллион маленьких операций.

В чем суть ошибки? 

Для приложений на базе Solana существует механизм, который позволяет пополнять кошелек и выводить средства из протокола. Если протокол соответствовал документации SPL, то в ходе вывода средств он округлял сумму до ближайшего доступного числа. Одни люди получали чуть больше доступной суммы, другие — чуть меньше. Исследователи задались вопросом: а можно ли обмануть систему таким образом, чтобы всегда получать чуть больше? Оказалось, что да. 

Проверяя свою теорию на копии блокчейна, экспертам удалось украсть 0.000001 BTC ($0.047). Далее команда Neodyme посчитала, что если осуществлять множество транзакций за короткий промежуток времени, данная ошибка позволяет красть по $7 500 в секунду, или по $27 млн в час. Сколько могли бы еще украсть злоумышленники, остается загадкой, потому что неизвестно, когда ошибку заметили бы. Но исследователи понимали, что под угрозой находится сумма размером более миллиарда долларов.

Команда Neodyme связалась с проектами Solana, которые, по их мнению, были уязвимы из-за данной ошибки. Поскольку многие из них имеют закрытый исходный код, некоторые предположения оказались ошибочными. Tulip Protocol, Solend и Larix исправили ошибку сразу после обращения. 

Solana Labs также внесла поправки в справочные документы, чтобы не создавать проблемы новым проектам. 

Статьи по теме
11.12.2024
Binance сотрудничает с Circle для расширения USDC
0
05.12.2024
Биткоин достиг $100 000
0
26.11.2024
Не стейблкоин: Binance официально представила доходный актив BFUSD
0
22.11.2024
Чемпионат Binance среди трейдеров: выбирайте команду и забирайте призы
0
06.11.2024
Биткоин обновил исторический максимум выше $75 000
0