原文(英) ソラナトークン貸付契約のバグが修正され、20億ドル以上が悪用可能になりました–ビットコインニュース
2021-12-06 18:30:37
Solana Program Library(SPL)のトークン貸し出し契約のバグが最近発見され、セキュリティ監査会社のNeodymeによって修正されました。 数か月前に発見されたこのバグは、合計20億ドル以上のロックされた価値(TVL)を保持しているいくつかの分散型金融プロトコルに影響を及ぼした可能性があります。 彼らのチームは、この契約(またはその派生物)を使用して可能なプロトコルを特定し、バグを即座に開示しました。
Solana SPL丸めバグは、資金を危険にさらします
SolanaのSealevel並列ランタイムを対象とするオンチェーンプログラムのグループであるSolanaのプログラムライブラリ(SPL)の一部であるトークン貸し出し契約の1つにバグがあり、いくつかのプロトコルの資金が危険にさらされています。 治安機関のネオジムは 開示 この脆弱性は数か月前に警告されましたが、明らかに無害な影響のため、バグは解決されていませんでした。
このバグにより、ユーザーがコントラクトに預け入れたトークンよりも多くのトークンを配信する丸め誤差が発生しました。 ただし、このバグは、脆弱性を直接標的とする組織的な攻撃なしでは悪用できませんでした。 監査グループのNeodymeは、それを再現し、それを利用したスクリプトを作成することに成功しました。
オープンソースの重要性
これらのプロトコルのいくつかのトークンで20億ドル以上が、このエクスプロイトを利用することによってゆっくりと排出されるリスクがありました。 さらに、攻撃がスマートな方法で実行された場合、アラームはトリガーされず、一部のプールでAPYの低速ドレインとして検出されるだけでした。 ネオジム 備考 監査人が関与し、これらの種類のバグを修正するのに役立つオープンソースコードの重要性について。 それは述べました:
最も安全なコードはオープンソースであると信じており、監査人として、より良いコードを書くための最良の方法の1つは、脆弱性を理解することであると信じています。
このエクスプロイトを発見した後、Neodymeは、おそらくプログラムを運用のツールとして使用しているチームとその存在を共有しました。 これらの中には、Solanaチェーンのオープンソースではなく、ユーザーが直接検証できないプロトコルが含まれていました。 このため、これらのプラットフォームがバグによって悪用可能かどうかを直接確認することは困難でした。 ただし、これらのプロトコルの背後にあるチームと連絡を取り、問題の修正を個別に担当しています。
SPLトークン貸付契約はすでにレビューされており、それを使用する2つのプロジェクトも独立して監査されています。KudelskiによるSolendとSlowmistによるLarixです。
Solanaトークン貸与契約で修正されたエクスプロイトについてどう思いますか? 以下のコメントセクションで教えてください。
画像クレジット:Shutterstock、Pixabay、ウィキコモンズ
免責事項:この記事は情報提供のみを目的としています。 これは、購入または販売の直接の申し出または申し出の勧誘、あるいは製品、サービス、または会社の推奨または承認ではありません。 Bitcoin.com 投資、税務、法律、または会計に関するアドバイスは提供しません。 会社も作者も、この記事に記載されているコンテンツ、商品、またはサービスの使用または信頼に起因または関連して引き起こされた、または引き起こされたと主張されるいかなる損害または損失についても、直接的または間接的に責任を負いません。
元ソース
続き・詳細はこちら