Обнаружена ошибка в программной библиотеке Solana

Исследователи криптобезопасности из Neodyme поделились дизайном атаки, которая может быть прибыльной за счёт токенов, интегрированных в экосистему Solana (SOL).

Криптовалюта Solana привлекла к себе внимание рекордным ростом цены

Как выяснилось, специалисты заметили ошибку в контракте о предоставлении токенов в библиотеке программ Solana. Сообщается, что она повлияла на многие протоколы DeFi на основе Solana.

Недавно мы обнаружили критическую ошибку в контракте о предоставлении токенов библиотеки программ-программ (SPL). В этом сообщении блога подробно рассказывается о нашем исследовании от открытия до эксплуатации и исправления.

Агрегированная общая заблокированная стоимость (TVL), подверженная риску, составила более $2,6 млрд. Схема гипотетической атаки была довольно простой: при внесении n дробных токенов пользователь может вывести n + 1 дробных токенов.

Применительно к собственному токену Solana SOL это экономически неэффективно, поскольку 1 Lamport (наименьшая часть SOL, такая как сатоши для биткоина, Wei для эфира и Drop для XRP) стоит всего $0,000000220.

Однако в случае с эфиром и биткоином этот сценарий может быть очень прибыльным. С некоторыми техническими доработками атака может выполняться примерно 300 раз в секунду. В результате потери могут быть колоссальными:

Мы можем включить эту транзакцию примерно 300 раз в секунду, воруя $7500 в секунду или около $27 млн в час (то есть один Huracan каждую минуту).

В автоматическом режиме эта атака становится прибыльной даже с использованием токенов FTT и RAY.

2-4 декабря представители Neodyme связались с рядом протоколов децентрализованного финансирования (DeFis) на Solana, в том числе Larix, Solend, Tulip, Accumen, Soda и т.д.

Все команды исправили ошибки в своей архитектуре. В итоге инженер-программист Джордан Одет-Секстон написал на GitHub, что проблема исправлена и в основной кодовой базе Solana.