Kiinteät virheet Solana Tokenbail -sopimuksessa teki yli 2 miljardia dollaria käyttökelpoista
Kiinteät virheet Solana Tokenbail -sopimuksessa teki yli 2 miljardia dollaria käyttökelpoista
US-Dollar-utbar.jpg" luokka " Alt = "Solana" lataus = "laiska">
Virhe Solana-ohjelmakirjaston (SPL) token-loitsu-sopimuksessa löydettiin äskettäin ja korjattiin turvallisuustutkimusyritys. Muutama kuukausi sitten löydetty virhe voi vaikuttaa useisiin hajautettuihin rahoitusprotokolliin, joiden kokonaisarvo on yli 2 miljardia dollaria (TVL). Tiimisi tunnisti mahdolliset protokollat, jotka käyttivät tätä sopimusta (tai sen johdannaisia) ja ilmoittivat välittömästi virheen.
Solana SPL: n pyöristämisvirhe vaarantaa rahastot
Virhe yhdessä merkkisopimuksista, joka on osa Solana-ohjelmakirjastoon (SPL), ryhmässä ketjun ohjelmia, jotka pyrkivät Solanan merenpinnan rinnakkaiseen termiin, vaarantaa useiden protokollien varat. Neodymellä, suojausviranomaisella, oli Tämä haavoittuvuus löydettiin ja se oli tietoinen siitä, mutta virhe ei ollut kiinnitetty sen ilmeisesti vaaraton vaikutus.
Virhe aiheutti pyöristämisvirheen, joka toimittaa enemmän merkkejä kuin käyttäjät maksoivat sopimukseen. Virhettä ei kuitenkaan hyödynnetty ilman organisoitua hyökkäystä, joka kohdistui suoraan turvallisuuden kestävyyteen. Kilpailuryhmä Neodymit onnistuivat toistamaan sen ja luomaan siitä skriptin.
avoimen lähdekoodin merkitys
Yli 2 miljardia dollaria useissa rahakkeissa tämän protokollien uhkasi hyödyntää hitaasti tämän hyväksikäytön käyttöä. Jos hyökkäys olisi toteutettu älykkäällä tavalla, hän ei olisi aiheuttanut hälytyksiä ja olisi tunnistettu vain joissakin uima -altaissa hitaana viemärinä. Neodym huomasi avoimen lähdekoodin merkityksen, jotta tilintarkastajat voidaan sisällyttää ja auttaa korjaamaan tämän tyyppistä virhettä. Sanottiin:
Uskomme, että avoimen lähdekoodin on turvallisin koodi, ja tilintarkastajina uskomme, että yksi parhaimmista tavoista kirjoittaa parempaa koodia on ymmärtää heikkouksia.
Kun neodyymit löysivät tämän hyväksikäytön, hän jakoi olemassaolonsa joukkueiden kanssa, jotka todennäköisesti käyttävät ohjelmaa työkaluina heidän toimintaansa. Niiden joukossa oli joitain Solanan protokollia. Ei avoimen lähdekoodin ketju , eikä käyttäjät voi tarkistaa suoraan. Tämä vaikeutti suoraan tarkistamaan, voitaisiinko näitä alustoja käyttää virhettä. Olet kuitenkin kommunikoinut näiden protokollien takana olevien ryhmien kanssa, jotka ovat vastuussa ongelman yksilöllisestä korjaamisesta.
SPL-merkkisopimus on jo tarkistettu, ja myös kaksi hanketta, jotka sitä käyttävät sitä, tarkistettiin myös itsenäisesti: Solend Kudelski ja Larix Slowgmist.
Mitä mieltä olet Solana Token -luottosopimuksessa korjatuista hyväksikäytöstä? Kerro meille alla olevalla kommentti -alueella.
bedy varmennus : Shutterstock, Pixabay, Wiki Commons