2.6 میلیارد دلار باگ در کتابخانه برنامه سولانا فاش شد.

photo_2021-12-04_21-00-11

در آخرین پست وبلاگ خود، محققان امنیت کریپتو از Neodyme طراحی حمله ای را به اشتراک گذاشتند که ممکن است برای توکن های “گران قیمت” ادغام شده در اکوسیستم Solana (SOL) سودآور باشد.

 طبق اعلامیه به اشتراک گذاشته شده در شبکه اجتماعی و وبلاگ Neodyme، اعضای آن متوجه اشکالی در قرارداد قرض دادن توکن کتابخانه برنامه سولانا شدند.

مجموع ارزش قفل شده (TVL) در معرض خطر بیش از ۲,۶۰۰,۰۰۰,۰۰۰ دلار بود. طرح حمله فرضی بسیار ساده بود: در حین سپرده گذاری n توکن کسری، کاربر می تواند n+1 توکن کسری را برداشت کند.

این طرح با توکن بومی سولانا یعنی SOL از نظر اقتصادی موثر نخواهد بود، زیرا ۱ Lamport (کوچکترین کسری از SOL، مانند ساتوشی برای بیت کوین، Wei برای اتر و Drop برای XRP) فقط حدود ۰،۰۰۰۰۰۰۲۲۰ دلار ارزش دارد.

با این حال، برای اتر و بیت کوین، این سناریو می تواند بسیار سودآور باشد. با انجام برخی از ارتقاء های فنی، این حمله می تواند حدود ۳۰۰ بار در ثانیه اجرا شود. در این مورد، ضرر و زیان می تواند چشمگیر باشد:

ما می‌توانیم این تراکنش را حدود ۳۰۰ بار در ثانیه انجام دهیم و ۷۵۰۰ دلار در ثانیه یا حدود ۲۷ میلیون دلار در ساعت (یعنی یک لامبورگینی هوراکان در هر دقیقه) را سرقت کنیم.

در حالت خودکار، این حمله حتی بر روی توکن های FTT و RAY نیز سودآور می شود.

در ۲-۴ دسامبر (۱۱-۱۳ آذر)، نمایندگان Neodyme با تعدادی از پروتکل‌های مالی غیرمتمرکز در سولانا مانند Larix ،Solend ،Tulip ،Accumen ،Soda و غیره تماس گرفتند.

همه تیم ها اشکالات معماری خود را رفع کردند. دیروز، مهندس نرم افزار Jordan Audet-Sexton در GitHub گفت که این مشکل در پایگاه کد اصلی سولانا نیز برطرف شده است.

Leave a comment