以太经典(ETC币)|EthereumClassic,新一代数字货币

Solana惊现可从各Defi项目不断领钱的26亿USD漏洞

2021-12-16 14:14栏目:动态
TAG:

急公告项目修补

Neodyme发现该漏洞遍及Solana上的数个去中心化的金融项目,包含Larix、Solend、Tulip、Accumen、Soda等共8个借贷项目可能暴露在风险其中,总计受影响的TVL高达26亿USD。

Neodyme立刻通过Telegram、Discord、Twitter、电子邮件等途径与项目方联系,结果发现Soda、Acumen、Port三个项目早已修补漏洞、或是尚未展开借贷服务所以不受影响。收益聚合器Tulip、借贷协议Solend和Larix则立刻采取行动,预防从协议取出的资金可以大于存入。

值得注意的是,该漏洞早在2021年6月5日便由Neodyme的研究员Simon在Github上公开,但因为相对可以“多拿”的资金,手续费更为高昂,缺少攻击效益下致使该漏洞修补未被看重。但若将盗领币种换为BTC等高价位代币,则不法获利便能盖过手续费,12月1日Simon见该漏洞仍未被修补,Neodyme团队方展开攻击验证。

Neodyme对此指出:

即使四舍五入丢失一枚代币看上去无害,但这也应该被视为紧急漏洞,

由于你永远不知晓该代币在将来可能值多少钱。

现在攻击行为非常难被侦测到,由于攻击过程非常缓慢、可以拉到数天以上,顶多导致APY降低且不会触动人和警报,这使得修补漏洞成为当务之急,Neodyme建议项目方可以把自己加入Solana Explorer的已知密钥列表中,这样便能借由社群的力量检核是不是安全,Solana Labs现在已修改开发参考文件,确保该漏洞不会出现于往后新诞生的项目中。

价值数十亿USD的漏洞

Neodyme表示,他们近期在Solana Program Library(SPL)中发现了一个漏洞,该漏洞允许用户向协议提领资金时“四舍五入”到最接近整数,这只有在误差的单位为Lamport(类似BTC的Satoshi)时会发生,在一般的状况下这会让部分的用户损失部分差额(多拿或少拿皆然),大致平衡。

然而,对有心人而言,这小小的差额就是庞大的获利机会。Neodyme在Solana区块链的副本上进行攻击验证,结果成功在单次买卖“多拿”了0.000001比特币(约0.047USD)。

据Neodyme估计,若真有心要大幅获利,可以在单笔买卖中实行300次这个漏洞,若再将很多买卖一次包在同个区块内,则“多拿”的情况可以来到每秒7,500USD或每小时2,700万USD的程度,这等于每分钟可以赚到一台兰博基尼Huracán。

攻击验证过程。 (Source:Neodyme)

安全研究团队Neodyme 12月3日发布官方声明表示,发现了Solana协议库中有关借贷合约的紧急漏洞,该漏洞允许攻击者每小时窃走2,700万USD,等于每分钟一台兰博基尼Huracán,现在Larix、Solana Labs、Solend和Tulip等已经修补完毕。