投资者要小心!研究发现Solana漏洞,每小时可被盗领2700万美元!
Solana协议库中存在严重漏洞,可以让骇客每小时窃走2700万美元,而目前Larix、Solana Labs、Solend和Tulip已经修复完毕。
根据安全研究团队Neodyme表示,Solana协议库中有关借贷合约出现了严重漏洞,这个漏洞可以让骇客每小时窃走2700万美元!
(图片来源:Entrepreneur)
通过误差额度盗领
他们表示,在Solana Program Library(SPL)中发现了一个漏洞,该漏洞允许使用者向协议提领时“四舍五入”到最接近的整数,这导致只有在误差的单位为Lamport(类似比特币的Satoshi单位)时发生,通常这种情况下会让部分用户损失部分差额,大致平衡。
但有心人可以利用这种小小的差额来获取利益,Neodyme在Solana区块链的副本上进行攻击验证,结果成功在单词交易“多拿”了0.000001BTC,相当于0.047美元。
如果有心人要大幅度获利,可以在单次交易中执行300次这个漏洞,如果再将多次交易一次包在同一个区块内,多拿的状况可以来到每秒7500美元,或每小时2700万美元。
(图片来源:BlockTempo)
受影响金额高达26亿美元
Neodyme发现,有关漏洞涉及的DeFi项目包括了Larix、Solend、Tulip、Accumen、Soda等八个借贷项目,有可能陷入风险中,预计受影响的TVL高达26亿美元。
Neodyme通过各种管道向项目方联系,结果发现其中Soda,Acumen和Port三个项目早就已经被修复,或未展开借贷服务而不受影响。而Tulip、Solend和Larix则立即采取行动,防止从协议中取出的资金大于存入。
而实际上,这个漏洞早在2021年6月5日由Neodyme研究员在Github上公开,由于相对于可以多拿的资金,手续费更为昂贵,在缺乏攻击效益下漏洞修补未被重视。
(图片来源:网络)
攻击很难被侦测出来
但如果盗铃的货币被换为比特币等高价值代币,获利就可以盖过手续费,12月1日研究员看到漏洞还没有被修补,于是进行了攻击验证。
他们认为,这个漏洞的攻击很难被侦测到,因为过程很缓慢,可以拉到几天以上,不会触动警报,修补漏洞成为当务之急。
文章资料来源:BlockTempo