Ein Fehler im Token-Leihvertrag der Solana Program Library (SPL) wurde kürzlich von Neodyme, einer Sicherheitsprüfungsfirma, gefunden und behoben. Der Fehler, der vor einigen Monaten entdeckt wurde, könnte mehrere dezentralisierte Finanzprotokolle mit einem Gesamtwert von mehr als 2 Milliarden US-Dollar (TVL) betreffen. Ihr Team identifizierte die möglichen Protokolle, die diesen Vertrag (oder Derivate davon) nutzten, und gab den Fehler sofort bekannt.
Inhaltsverzeichnis
Solana SPL Rundungsfehler gefährdet Fonds
Ein Fehler in einem der Token-Lending-Verträge, der Teil der Programmbibliothek (SPL) von Solana ist, einer Gruppe von On-Chain-Programmen, die auf die parallele Laufzeit von Sealevel auf Solana abzielen, gefährdet die Mittel mehrerer Protokolle. Neodyme, eine Sicherheitsbehörde, hatte offengelegt diese Schwachstelle schon vor Monaten entdeckt und darauf aufmerksam gemacht, aber der Fehler war aufgrund seiner scheinbar harmlosen Wirkung nicht behoben worden.
Der Fehler verursachte einen Rundungsfehler, der mehr Token liefert, als von den Benutzern in den Vertrag eingezahlt wurden. Der Fehler war jedoch ohne einen organisierten Angriff, der direkt auf die Sicherheitsanfälligkeit zielte, nicht ausnutzbar. Neodyme, die Auditing-Gruppe, hat es geschafft, es zu reproduzieren und ein Skript zu erstellen, das davon profitiert.
Bedeutung von Open Source
Mehr als 2 Milliarden US-Dollar in mehreren Token für diese Protokolle drohten durch die Nutzung dieses Exploits langsam ausgeschöpft zu werden. Wenn der Angriff auf intelligente Weise durchgeführt worden wäre, hätte er darüber hinaus keine Alarme ausgelöst und wäre in einigen Pools nur als langsamer Abfluss von APY erkannt worden. Neodym bemerkte über die Bedeutung von Open-Source-Code, damit Auditoren einbezogen werden und helfen können, diese Art von Fehlern zu beheben. Es hieß:
Wir glauben, dass Open Source der sicherste Code ist, und als Auditoren glauben wir, dass eine der besten Möglichkeiten, besseren Code zu schreiben, darin besteht, Schwachstellen zu verstehen.
Nachdem Neodyme diesen Exploit entdeckt hatte, teilte er seine Existenz mit Teams, die das Programm wahrscheinlich als Werkzeug für ihre Operationen verwenden würden. Darunter befanden sich einige Protokolle, die auf dem Solana . nicht Open Source sind Kette, und können von ihren Benutzern nicht direkt überprüft werden. Dies erschwerte es ihnen, direkt zu überprüfen, ob diese Plattformen durch den Fehler ausgenutzt werden konnten. Sie haben jedoch mit den Teams hinter diesen Protokollen kommuniziert, die für die individuelle Behebung des Problems verantwortlich sind.
Der SPL-Token-Lending-Vertrag wurde bereits zuvor überprüft und zwei Projekte, die ihn verwenden, wurden ebenfalls unabhängig geprüft: Solend von Kudelski und Larix von Slowmist.
Was halten Sie von dem im Solana-Token-Kreditvertrag korrigierten Exploit? Sagen Sie es uns im Kommentarbereich unten.
Bildnachweise: Shutterstock, Pixabay, Wiki Commons