Ошибка в контракте на выдачу токенов Solana исправлена, более 2 миллиардов долларов стали доступны для использования

По
news
-
0
1216

Ошибка в контракте на выдачу токенов Solana исправлена, более 2 миллиардов долларов стали доступны для использования

Ошибка в контракте о предоставлении токенов в библиотеке программ Solana (SPL) была недавно обнаружена и исправлена компанией Neodyme, занимающейся аудитом безопасности. Ошибка, обнаруженная пару месяцев назад, могла затронуть несколько протоколов децентрализованного финансирования, в которых общая заблокированная стоимость (TVL) составила более 2 миллиардов долларов. Их команда определила возможные протоколы, использующие этот контракт (или его производные), и немедленно обнаружила ошибку.

Ошибка округления Solana SPL ставит под угрозу средства

Ошибка в одном из контрактов на предоставление токенов, который является частью библиотеки программ Solana (SPL), группы сетевых программ, нацеленных на параллельную среду выполнения Sealevel на Solana, подвергает риску средства нескольких протоколов. Агентство безопасности Neodyme обнаружило эту уязвимость несколько месяцев назад и предупредило о ней, но ошибка из-за ее явно безобидного эффекта не была устранена.

Ошибка вызвала ошибку округления, из-за которой доставлялось больше токенов, чем было внесено пользователями в контракт. Однако ошибку нельзя было использовать без организованной атаки, направленной непосредственно на уязвимость. Аудиторской группе Neodyme удалось воспроизвести это и создать сценарий, который использовал это преимущество.

Важность открытого исходного кода

Несколько токенов на эти протоколы на сумму более 2 миллиардов долларов могли медленно истощиться из-за использования этого эксплойта. Более того, если бы атака была проведена разумно, она не вызвала бы никаких сигналов тревоги и была бы просто обнаружена как медленное истощение APY в некоторых пулах. Неодим отметил важность открытого исходного кода для привлечения аудиторов и помощи в исправлении подобных ошибок. В нем говорилось:

Мы считаем, что наиболее безопасным является код с открытым исходным кодом, и, как аудиторы, мы считаем, что один из лучших способов написать лучший код – это понять уязвимости.

Обнаружив этот эксплойт, Neodyme поделилась его существованием с группами, которые, вероятно, использовали бы программу в качестве инструмента для своих операций. Среди них были некоторые протоколы, которые не являются открытыми в цепочке Solana и не могут быть напрямую проверены их пользователями. Из-за этого им было сложно напрямую проверить, можно ли использовать эти платформы с помощью ошибки. Тем не менее, они связались с командами, стоящими за этими протоколами, которые отвечают за решение проблемы в индивидуальном порядке.

.uca52ff75018d6224c4d1b72f9378ad78{padding:0;margin:0;padding-top:1em!important;padding-bottom:1em!important;width:100%;display:block;font-weight:700;background-color:inherit;border:0!important;border-left:4px solid inherit!important;text-decoration:none}.uca52ff75018d6224c4d1b72f9378ad78:active,.uca52ff75018d6224c4d1b72f9378ad78:hover{opacity:1;transition:opacity 250ms;webkit-transition:opacity 250ms;text-decoration:none}.uca52ff75018d6224c4d1b72f9378ad78{transition:background-color 250ms;webkit-transition:background-color 250ms;opacity:1;transition:opacity 250ms;webkit-transition:opacity 250ms}.uca52ff75018d6224c4d1b72f9378ad78 .ctaText{font-weight:700;color:#000;text-decoration:none;font-size:16px}.uca52ff75018d6224c4d1b72f9378ad78 .postTitle{color:#3498DB;text-decoration:underline!important;font-size:16px}.uca52ff75018d6224c4d1b72f9378ad78:hover .postTitle{text-decoration:underline!important}

СХОЖИЕ СТАТЬИБОЛЬШЕ ОТ АВТОРА

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here