Neodime’de güvenlik araştırmacıları, Solana (SOL) ekosistemine entegre token’lar için bir saldırının tasarımını paylaştı.
Neodyme’in sosyal ağında ve blogunda paylaşılan duyuruya göre, üyeleri Solana Program Kitaplığı’nın token ödünç verme sözleşmesinde bir hata fark ettiler ve bu hatadan çok sayıda Solana tabanlı DeFi protokolü etkilendi.
We recently discovered a critical bug in the token-lending contract of the solana-program-library (SPL). This blog post details our journey from discovery, through exploitation and coordinated disclosure, and finally the fix.
— Neodyme (@Neodyme) December 3, 2021
Risk altındaki toplam toplam kilitli değer (TVL) 2.600.000.000 doların üzerindeydi. Varsayımsal saldırının tasarımı oldukça basit: n adet kesirli token yatırırken, bir kullanıcı n+1 kesirli token çıkışı yapabiliyor.
Solana’nın yerel tokeni SOL ile, 1 Lamport (SOL’un en küçük fraksiyonu, Bitcoin için Satoshi, Ether için Wei ve XRP için Drop) yalnızca yaklaşık 0,000000220 dolar değerinde olduğundan, ekonomik olarak etkili olmayacaktır ancak Ether ve Bitcoin için bu senaryo çok karlı olabilir. Bazı teknik yükseltmelerle saldırı saniyede yaklaşık 300 kez gerçekleştirilebilir ve böyle bir durumda, kayıplar oldukça büyük olabilirdi.
Bu işlemin saniyede yaklaşık 300 kez dahil edilmesini, saniyede 7500 dolar veya saatte yaklaşık 27 milyon dolar çalınmasını sağlayabiliriz.
Hata Çözüldü
2-4 Aralık tarihlerinde Neodyme’in temsilcileri, Larix, Solend, Tulip, Accumen, Soda ve benzeri gibi Solana ile ilgili bir dizi merkezi olmayan finans protokolü (DeFis) ile temasa geçti. Tüm ekipler mimarilerindeki hataları düzeltti. Yazılım mühendisi Jordan Audet-Sexton , GitHub’da sorunun Solana’nın ana kod tabanında da çözüldüğünü paylaştı .