Solana 刚刚修复了一个错误 允许黑客 每小时偷窃27万美元。地毯拉力和网络漏洞主导了加密行业的公众舆论。目前,此类黑客攻击导致 DeFi 应用损失总计超过 2 亿美元,仅本周就高达 120 亿美元。
此外,根据 Neodyme 的安全研究人员的说法,如果最近修复了某个错误,则 Solana 生态系统将面临数千美元被盗的风险。
在一个 发表 研究人员在博客文章中透露,Solana 协议库(SPL - Solana 项目参考集)中的一个错误可能允许黑客高速窃取多个 Solana 项目的资金。每小时 27 万美元。总风险价值高达2.6亿美元。
可能受到影响的潜在目标包括 Tulip Protocol 回报聚合器以及 Solend、Soda、Larix 信用协议,所有这些协议的锁定总价值 (TVL) 均高达数百万。
这一切都始于今年 1 月,当时研究员 Simon 发现了这个 bug,并在 Github 上强调了这个问题。由于该错误此时并未构成迫在眉睫的风险,因此没有引起注意。但XNUMX月XNUMX日复审时,仍未解决或纠正。
随后,研究人员开始测试该漏洞的利用情况,并评估其可能造成的潜在危害。尽管最初被认为是“看似无害的舍入错误”,但研究人员后来意识到,有可能通过无休止的小额交易窃取大量资金。
这是因为 Solana 上使用 SPL 的应用程序在付款时会参考最接近的整数,如果用户欠的是最小参考货币单位的一小部分,那么会导致用户得到很少或损失。
虽然看起来微不足道,但如果一家公司利用这一点并坚持下去,这个数字是难以想象的。
经过测试,研究人员估计他们可以在单笔交易中犯 150-200 次这种错误,并将这些交易打包到一个区块中。他们计算出利用此类漏洞可以以每秒 7,500 美元或每小时 27 万美元的速度窃取资金。
经确认,Neodyme 联系了多个可能受此 bug 影响的 Solana 项目。由于大多数都是闭源的,因此任务暴露了一些障碍。即便如此,他们还是努力联系了一些著名的项目来修复错误,而 Solana Labs 也更正了参考文献,以确保后续的新项目没有错误。
加入 Bitcoin Magazine Telegram 来跟踪本文的新闻和评论: https://t.me/coincunews