最近,安全審計公司Neodyme 發現並修復了Solana 程序庫(SPL)的代幣借貸合同中的一個錯誤。幾個月前發現的這個漏洞可能影響了幾個持有超過20 億美元總價值鎖定(TVL)的去中心化金融協議。他們的團隊使用此合約(或其衍生產品)確定了可能的協議,並立即披露了錯誤。
Solana SPL 舍入錯誤使資金面臨風險
作為Solana 程序庫(SPL) 的一部分的令牌借貸合同中的一個錯誤,這是一組針對Solana 上的Sealevel 並行運行時的鏈上程序,使多個協議的資金面臨風險。 Neodyme 是一家安全機構, 披露 這個漏洞在幾個月前就已經發出警報,但由於其明顯無害的影響,該漏洞並未得到解決。
該錯誤導致了舍入錯誤,該錯誤提供的代幣比用戶存入合約的代幣多。但是,如果沒有直接針對漏洞的有組織的攻擊,則無法利用該漏洞。審計組Neodyme 設法複製了它並創建了一個利用它的腳本。
開源的重要性
這些協議上超過20 億美元的多個代幣有可能被利用這一漏洞緩慢耗盡。更重要的是,如果攻擊以巧妙的方式進行,它就不會觸發任何警報,而只會被檢測為某些池中APY 的緩慢消耗。釹鐵硼 評論 關於開源代碼對於審計人員參與並幫助糾正這些類型的錯誤的重要性。它指出:
我們相信最安全的代碼是開源的,作為審計員,我們相信編寫更好代碼的最佳方法之一就是了解漏洞。
在發現此漏洞後,Neodyme 與可能將該程序用作其操作工具的團隊分享了它的存在。其中包括一些在Solana 上沒有開源的協議 鏈,並且無法由其用戶直接驗證。這使得他們很難直接驗證這些平台是否可被該漏洞利用。但是,他們與這些協議背後的團隊進行了溝通,這些團隊負責單獨解決問題。
SPL代幣借貸合約之前已經過審核,使用它的兩個項目也已經獨立審核:Kudelski的Solend和Slowmist的Larix。
您如何看待Solana 代幣借貸合同中更正的漏洞利用?在下面的評論部分告訴我們。
圖片來源:Shutterstock、Pixabay、維基共享資源
免責聲明: 本文僅供參考。它不是購買或出售的直接要約或要約邀請,也不是對任何產品、服務或公司的推薦或認可。 比特幣網 不提供投資、稅務、法律或會計建議。對於因使用或依賴本文中提及的任何內容、商品或服務而造成或聲稱造成的任何損害或損失,公司或作者均不直接或間接負責。