Lỗi giao thức thư viện Solana, có khả năng khiến 2,6 tỷ đô la có nguy cơ bị đánh cắp

48 lượt xem
Hien da duoc sua loi Thu vien giao thuc Solana co kha nang khien 26 ty do la co nguy co bi danh cap

Việc kéo thảm và khai thác mạng đã thống trị phần lớn tiếng vang trong ngành công nghiệp tiền điện tử và vì lý do chính đáng. Các ứng dụng DeFi hiện đã mất tổng cộng hơn 2 tỷ đô la do các vụ hack như vậy. Chỉ riêng phần mới nhất trong tuần này đã thu về 120 triệu đô la.

Hơn nữa, hàng tỷ người khác có thể đã bị mất khỏi hệ sinh thái Solana nếu một lỗi đã được sửa gần đây không được phát hiện, theo các nhà nghiên cứu bảo mật tại Neodyme.

Trong một bài đăng trên blog gần đây , các nhà nghiên cứu đã tiết lộ rằng một lỗi trong Thư viện giao thức Solana (SPL), có thể cho phép những kẻ tấn công ăn cắp tiền từ nhiều dự án Solana với tốc độ 27 triệu đô la một giờ. Tổng giá trị rủi ro lên đến 2,6 tỷ đô la. SPL là một bộ tài liệu tham khảo cho các dự án Solana .

Các mục tiêu tiềm năng có thể bị ảnh hưởng bao gồm giao thức Tulip tổng hợp lợi nhuận và các giao thức cho vay Solend, Soda và Larix, tất cả đều có TVL hàng triệu đô la.

Mọi chuyện bắt đầu vào tháng 6 năm nay khi một nhà nghiên cứu tên là Simon ban đầu phát hiện ra lỗi và đưa ra vấn đề trên Github. Vì vào thời điểm đó, lỗi này dường như không gây ra rủi ro ngay lập tức, nên nó hầu như không được chú ý. Tuy nhiên, khi vấn đề được nhà nghiên cứu xem xét lại vào ngày 1 tháng 12, người ta thấy rằng nó vẫn chưa được giải quyết hoặc sửa chữa.

Sau đó, các nhà nghiên cứu bắt đầu kiểm tra khả năng khai thác lỗi và đánh giá thiệt hại tiềm ẩn mà nó có thể gây ra. Mặc dù ban đầu nó được coi là một “lỗi làm tròn dường như vô hại”, nhưng sau đó người ta nhận ra rằng nó có khả năng bị đánh cắp một số lượng lớn thông qua các giao dịch nhỏ vô tận.

Điều này là do những ứng dụng trên Solana sử dụng tài liệu tham chiếu SPL làm tròn tiền đến số nguyên gần nhất tại thời điểm rút tiền, trong trường hợp người dùng bị nợ một phần nhỏ của đơn vị tham chiếu nhỏ nhất. Điều này sẽ dẫn đến việc người dùng nhận được hoặc mất rất ít tiền của họ. Mặc dù nó có vẻ không đáng kể nếu cô lập, điều tương tự cũng có thể trở thành một gia tài nếu bị bòn rút bởi một thực thể duy nhất.

Sau khi thử nghiệm, các nhà nghiên cứu ước tính rằng họ có thể thực hiện lỗi này 150-200 lần trong một giao dịch duy nhất và đặt nhiều giao dịch này vào một khối duy nhất. Họ đã tính toán rằng một cách khai thác như vậy có thể ăn cắp tiền với tốc độ 7.500 đô la mỗi giây, hoặc 27 triệu đô la một giờ.

Sau khi khả năng khai thác được xác nhận, Neodyme đã liên hệ với nhiều dự án Solana có thể đã bị ảnh hưởng bởi lỗi này. Vì hầu hết trong số này đều có nguồn gốc gần gũi, nhiệm vụ đi kèm với những rào cản hợp lý. Tuy nhiên, họ đã quản lý để liên hệ với một số dự án nổi bật đã sửa lỗi, trong khi Solana Labs cũng sửa các tài liệu tham khảo để đảm bảo rằng các dự án mới sau SPL sẽ không giới thiệu lại lỗi.

Bạn có thể thích

About the Author: BTC66.VN