Ошибка в библиотеке Solana потенциально позволяла красть 27 млн долларов в час
Баг оставался незамеченным в течение шести месяцев
06.12.2021 - 14:15
2046
2 мин
0
.
Что произошло? Эксперты Neodyme обнаружили, что из-за бага в одной из библиотек программы протокола Solana (SPL) потенциальные мошенники могли воровать средства у DeFi-проектов со скоростью 27 млн долларов в час.
We recently discovered a critical bug in the token-lending contract of the solana-program-library (SPL). This blog post details our journey from discovery, through exploitation and coordinated disclosure, and finally the fix.— Neodyme (@Neodyme) December 3, 2021
Какие проекты были под угрозой? Наиболее уязвимыми могли оказаться агрегатор доходности Tulip Protocol (TULIP) и протоколы кредитования Solend (SLND) и Larix.
Специалисты Neodyme отметили, что ошибка была впервые выявлена еще в июне одним из аудиторов Solana. Однако, вероятно, он счел ее незначительной, и в итоге библиотека продолжала функционировать с багом в течение шести месяцев. 1 декабря аудитор заметил, что уязвимость еще не исправлена, и обратился к экспертам Neodyme с просьбой запустить тестирование.
К каким выводам пришли в Neodyme? После того, как специалисты провели исследование, они обнаружили, что баг мог привести к многомиллионным потерям. Они связались с Solana Foundation и 8 проектами, которые должны были заметить в своей работе влияние ошибки. Оказалось, что некоторые из них уже удалили ее, а Solana Labs исправила справочную документацию.
Полезный материал?
Рынки
Цифровые активы упростили проведение операций в условиях санкций
25 дек. 2024 г.
Майнинг
Ограничения призваны сохранить баланс энергопотребления с учетом запросов промышленности
24 дек. 2024 г.
Рынки
Из-за дефицита предложения курс актива на премаркете поднимался выше $1000
16 дек. 2024 г.
Происшествия
Сообщения о взломе биржи с призывами выводить активы начали распространяться 13 декабря
13 дек. 2024 г.
Крипторегулирование
Изменения не затронут стейблкоины от эмитента Circle
12 дек. 2024 г.
Крипторегулирование
Платформа запустится после выполнения предварительных условий местного валютного управления
9 дек. 2024 г.