原文(英)現在修正されているSolanaProtocol Libraryのバグは、26億ドルを盗難のリスクにさらす可能性がありました
2021-12-05 04:30:09
ラグプルとネットワークエクスプロイトは、暗号通貨業界内の話題の多くを支配してきましたが、それには正当な理由があります。 DeFiアプリケーションは今 20億ドル以上を失った そのようなハッキングのために合計で。 今週だけで最新のものは1億2000万ドルを占めました。
さらに、Neodymeのセキュリティ研究者によると、最近修正されたバグが検出されなかった場合、Solanaエコシステムからさらに数十億が失われた可能性があります。
最近では ブログ投稿、研究者は、Solana Protocol Library(SPL)のバグにより、攻撃者が1時間に2700万ドルの割合で複数のSolanaプロジェクトからお金を盗む可能性があることを明らかにしました。 バリューアットリスクの合計は最大26億ドルでした。 SPLは、Solanaプロジェクトのリファレンスドキュメントのセットです。
影響を受ける可能性のある潜在的なターゲットには、歩留まりアグリゲーターのチューリッププロトコルと貸し出しプロトコルのソレンド、ソーダ、およびラリックスが含まれます。これらはすべてTVLで数百万ドルを持っています。
それはすべて、Simonという名前の研究者が最初にバグを発見し、Githubで問題を提起した今年の6月に始まりました。 当時、バグは差し迫ったリスクをもたらすとは思われなかったため、ほとんど気づかれていませんでした。 しかし、12月1日に研究者がこの問題を再度検討したところ、対処も修正もされていなかったことが判明しました。
その後、研究者はバグを悪用する可能性をテストし、バグが引き起こす可能性のある潜在的な損害を測定し始めました。 当初は「一見無害な丸め誤差」と見なされていましたが、その後、無限の小さなトランザクションを通じて大量を盗む可能性があることがわかりました。
これは、SPL参照ドキュメントを使用するSolana上のアプリは、ユーザーが参照の最小単位の一部を負っている場合に備えて、引き出しの時点で最も近い整数に資金を丸めるためです。 これにより、ユーザーは資金のごく一部を受け取ったり失ったりすることになります。 単独では取るに足らないように見えますが、単一のエンティティによって吸い上げられた場合、同じことが大金になる可能性があります。
テストの結果、研究者は、このバグを1回のトランザクションで150〜200回実行し、これらのトランザクションの多くを1つのブロックに入れることができると推定しました。 彼らは、そのようなエクスプロイトが1秒あたり7,500ドル、つまり1時間あたり2,700万ドルの割合で資金を盗む可能性があると考えました。
エクスプロイトの可能性が確認されると、Neodymeはバグの影響を受けた可能性のある複数のSolanaプロジェクトに連絡しました。 これらのほとんどは密接に調達されているため、タスクにはかなりのハードルが伴いました。 しかし、彼らはバグを修正したいくつかの著名なプロジェクトに連絡を取り、Solana Labsは参照ドキュメントも修正して、SPLに続く新しいプロジェクトがバグを再導入しないようにしました。
元ソース現在修正されているSolanaProtocol Libraryのバグは、26億ドルを盗難のリスクにさらす可能性がありました