Ошибка в библиотеке Solana потенциально позволяла красть 27 млн долларов в час
Баг оставался незамеченным в течение шести месяцев
06.12.2021 - 14:15
2216
2 мин
0
.
Что произошло? Эксперты Neodyme обнаружили, что из-за бага в одной из библиотек программы протокола Solana (SPL) потенциальные мошенники могли воровать средства у DeFi-проектов со скоростью 27 млн долларов в час.
We recently discovered a critical bug in the token-lending contract of the solana-program-library (SPL). This blog post details our journey from discovery, through exploitation and coordinated disclosure, and finally the fix.— Neodyme (@Neodyme) December 3, 2021
Какие проекты были под угрозой? Наиболее уязвимыми могли оказаться агрегатор доходности Tulip Protocol (TULIP) и протоколы кредитования Solend (SLND) и Larix.
Специалисты Neodyme отметили, что ошибка была впервые выявлена еще в июне одним из аудиторов Solana. Однако, вероятно, он счел ее незначительной, и в итоге библиотека продолжала функционировать с багом в течение шести месяцев. 1 декабря аудитор заметил, что уязвимость еще не исправлена, и обратился к экспертам Neodyme с просьбой запустить тестирование.
К каким выводам пришли в Neodyme? После того, как специалисты провели исследование, они обнаружили, что баг мог привести к многомиллионным потерям. Они связались с Solana Foundation и 8 проектами, которые должны были заметить в своей работе влияние ошибки. Оказалось, что некоторые из них уже удалили ее, а Solana Labs исправила справочную документацию.
Полезный материал?
Происшествия
Компания связывает инцидент с компрометацией приватного ключа сервисного кошелька, а не со взломом смарт-контрактов.
22 мая 2026 г.
Происшествия
После инцидента проект временно остановил торговые операции и работу узлов.
15 мая 2026 г.
Происшествия
Пользователь безуспешно подбирал пароль несколько недель, пока ИИ не помог найти старую резервную копию кошелька
14 мая 2026 г.
Крипторегулирование
Власти вводят обязательную регистрацию для компаний, работающих с трансграничными криптопереводами
8 мая 2026 г.
Происшествия
По данным Blockaid, за атакой может стоять хакер, ранее взломавший 1inch Fusion V1.
7 мая 2026 г.
Происшествия
Злоумышленник получил административный доступ и изменил контракты, чтобы вывести средства пользователей.
30 апр. 2026 г.
Курсы криптовалют
-
Bitcoin
$63 749
BTC
+0.99%
-
Ethereum
$2 551.16
ETH
+3.56%
-
BNB Smart Chain
$579.4
BSC
+1.23%
-
Ripple
$1.17
XRP
-1.98%
-
TRON
$0.160134
TRX
-1.59%
-
Dogecoin
$0.088496
DOGE
-2.02%
-
Zcash
$456.15
ZEC
-26.42%
-
Stellar XLM
$0.201321
XLM
-2.85%
-
Cardano
$0.177161
ADA
-10.59%
-
Polkadot
$3.32
DOT
+5.27%