Fiksuotos Solana TokenBail sutarties klaidos, sudarytos daugiau nei 2 milijardai dolerių
Fiksuotos Solana TokenBail sutarties klaidos, sudarytos daugiau nei 2 milijardai dolerių
US-Dollar-utbar.jpg" class = "sore__iS-tory-story-story-ts-ustbar.jpg" class = "sore__iSt__im“ Alt = "solana" Loading = "tingi">
Neseniai „Solana“ programos bibliotekos (SPL) ženklo sutarties klaida (SPL) neseniai rado ir ištaisė saugumo egzaminų bendrovės „Neodys“. Prieš kelis mėnesius nustatyta klaida gali paveikti kelis decentralizuotus finansinius protokolus, kurių bendra vertė yra didesnė nei 2 milijardai dolerių (TVL). Jūsų komanda nustatė galimus protokolus, kurie naudojo šią sutartį (arba jos išvestines priemones), ir iškart paskelbė apie klaidą.
TuKlaida vienoje iš žetonų skolinimo sutarčių, kuri yra „Solana“ programos bibliotekos (SPL), grupės programų, kuriomis siekiama lygiagretaus „Solana“ termino, dalis, kelia pavojų kelių protokolų lėšoms. „NeodeMe“, saugumo institucija, turėjo Šis pažeidžiamumas buvo atrastas ir sužinojo, tačiau klaida nebuvo atleista dėl jos apžiūrėtai kenksmingo.
Klaida sukėlė apvalinimo klaidą, kuri suteikia daugiau nei vartotojai, sumokėti į sutartį. Tačiau klaida nebuvo išnaudota be organizuotos atakos, kuri tiesiogiai nukreipta į saugumo tvarumą. Audito grupė „Neodym“ sugebėjo ją atkurti ir sukurti scenarijų, kuris iš jo naudingas.
Atvirojo kodo reikšmė
Daugiau nei 2 milijardai dolerių keliuose žetonuose už šiuos protokolus grasino pamažu išnaudoti šio išnaudojimo naudojimą. Jei išpuolis būtų buvęs intelektualus būdas, jis nebūtų sukėlęs aliarmo ir būtų buvęs pripažintas tik kai kuriuose baseinuose kaip lėtą APY drenažą. Neodym pastebėjo atvirojo kodo kodo svarbą, kad auditoriai galėtų būti įtraukti ir padėti ištaisyti tokio tipo klaidą. Buvo pasakyta:
Mes manome, kad atviras kodas yra saugiausias kodas, ir mes, kaip auditoriai, manome, kad vienas geriausių būdų parašyti geresnį kodą yra suprasti silpnybes.
Po to, kai „Neodys“ atrado šį išnaudojimą, jis pasidalino savo egzistavimu su komandomis, kurios tikriausiai naudos programą kaip įrankius jų operacijoms. Tarp jų buvo keletas „Solana“ protokolų. Ne atvirojo kodo yra grandinė ir negali būti tiesiogiai patikrinti jų vartotojams. Dėl to jums buvo sunku tiesiogiai patikrinti, ar šias platformas gali naudoti klaida. Tačiau jūs bendravote su šių protokolų, atsakingų už individualią problemos pataisą, komandoms.
SPL žetonų skolinimo sutartis jau buvo patikrinta ir du projektai, kuriems ji naudojasi, taip pat buvo patikrinti savarankiškai: „Slowgmist“ „Kudelski“ ir „Larix“ išspręsta.
Ką manote apie išnaudojimą, pataisytą „Solana“ prieigos kredito sutartyje? Papasakokite žemiau esančioje komentarų srityje.
bedy tikrinimas : Shutterstock, Pixabay, Wiki Commons