Ошибка в библиотеке Solana потенциально позволяла красть 27 млн долларов в час
Баг оставался незамеченным в течение шести месяцев
06.12.2021 - 14:15
1988
2 мин
0
.
Что произошло? Эксперты Neodyme обнаружили, что из-за бага в одной из библиотек программы протокола Solana (SPL) потенциальные мошенники могли воровать средства у DeFi-проектов со скоростью 27 млн долларов в час.
We recently discovered a critical bug in the token-lending contract of the solana-program-library (SPL). This blog post details our journey from discovery, through exploitation and coordinated disclosure, and finally the fix.— Neodyme (@Neodyme) December 3, 2021
Какие проекты были под угрозой? Наиболее уязвимыми могли оказаться агрегатор доходности Tulip Protocol (TULIP) и протоколы кредитования Solend (SLND) и Larix.
Специалисты Neodyme отметили, что ошибка была впервые выявлена еще в июне одним из аудиторов Solana. Однако, вероятно, он счел ее незначительной, и в итоге библиотека продолжала функционировать с багом в течение шести месяцев. 1 декабря аудитор заметил, что уязвимость еще не исправлена, и обратился к экспертам Neodyme с просьбой запустить тестирование.
К каким выводам пришли в Neodyme? После того, как специалисты провели исследование, они обнаружили, что баг мог привести к многомиллионным потерям. Они связались с Solana Foundation и 8 проектами, которые должны были заметить в своей работе влияние ошибки. Оказалось, что некоторые из них уже удалили ее, а Solana Labs исправила справочную документацию.
Полезный материал?
Рынки
Осуществлять выпуск и погашение стейблкоинов USDT будет подразделение Tether Finance
18 апр. 2024 г.
Тренды
Первым представленным на платформе проектом станет BounceBit (BB)
18 апр. 2024 г.
Бизнес
Курс нативного токена ACH отреагировал ростом на 10%
18 апр. 2024 г.
Рынки
Майнеры охотятся за первым блоком после халвинга, поскольку стоимость первого сатоши может превысить 1 млн долларов
18 апр. 2024 г.
Рынки
Платформа будет некастодиальной и доступной для всех желающих
15 апр. 2024 г.
Рынки
Разрешения получили China Asset Management, Harvest Global Investments и Bosera Asset Management
15 апр. 2024 г.