投资者要小心！研究发现Solana漏洞，每小时可被盗领2700万美元！

Solana协议库中存在严重漏洞，可以让骇客每小时窃走2700万美元，而目前Larix、Solana Labs、Solend和Tulip已经修复完毕。

根据安全研究团队Neodyme表示，Solana协议库中有关借贷合约出现了严重漏洞，这个漏洞可以让骇客每小时窃走2700万美元！

（图片来源：Entrepreneur）

通过误差额度盗领

他们表示，在Solana Program Library（SPL）中发现了一个漏洞，该漏洞允许使用者向协议提领时“四舍五入”到最接近的整数，这导致只有在误差的单位为Lamport（类似比特币的Satoshi单位）时发生，通常这种情况下会让部分用户损失部分差额，大致平衡。

但有心人可以利用这种小小的差额来获取利益，Neodyme在Solana区块链的副本上进行攻击验证，结果成功在单词交易“多拿”了0.000001BTC，相当于0.047美元。

如果有心人要大幅度获利，可以在单次交易中执行300次这个漏洞，如果再将多次交易一次包在同一个区块内，多拿的状况可以来到每秒7500美元，或每小时2700万美元。

（图片来源：BlockTempo）

受影响金额高达26亿美元

Neodyme发现，有关漏洞涉及的DeFi项目包括了Larix、Solend、Tulip、Accumen、Soda等八个借贷项目，有可能陷入风险中，预计受影响的TVL高达26亿美元。

Neodyme通过各种管道向项目方联系，结果发现其中Soda，Acumen和Port三个项目早就已经被修复，或未展开借贷服务而不受影响。而Tulip、Solend和Larix则立即采取行动，防止从协议中取出的资金大于存入。

而实际上，这个漏洞早在2021年6月5日由Neodyme研究员在Github上公开，由于相对于可以多拿的资金，手续费更为昂贵，在缺乏攻击效益下漏洞修补未被重视。

（图片来源：网络）

攻击很难被侦测出来

但如果盗铃的货币被换为比特币等高价值代币，获利就可以盖过手续费，12月1日研究员看到漏洞还没有被修补，于是进行了攻击验证。

他们认为，这个漏洞的攻击很难被侦测到，因为过程很缓慢，可以拉到几天以上，不会触动警报，修补漏洞成为当务之急。

文章资料来源：BlockTempo