Đã sửa lỗi trong hợp đồng cho vay mã thông báo Solana, có thể khai thác hơn 2 tỷ đô la Mỹ​

Một lỗi trong hợp đồng cho vay mã thông báo của Thư viện chương trình Solana (SPL) đã được Neodyme, một công ty kiểm toán bảo mật, tìm thấy và sửa chữa gần đây. Lỗi được phát hiện cách đây vài tháng, có thể đã ảnh hưởng đến một số giao thức tài chính phi tập trung nắm giữ tổng giá trị hơn 2 tỷ đô la bị khóa (TVL). Nhóm của họ đã xác định các giao thức có thể sử dụng hợp đồng này (hoặc các dẫn xuất của nó) và tiết lộ lỗi ngay lập tức.

Solana SPL làm tròn lỗi khiến quỹ gặp rủi ro​

Một lỗi trong một trong các hợp đồng cho vay mã thông báo nằm trong Thư viện chương trình của Solana (SPL), một nhóm các chương trình trên chuỗi nhắm mục tiêu thời gian chạy song song của Sealevel trên Solana, khiến tiền của một số giao thức gặp rủi ro. Neodyme, một cơ quan bảo mật, đã tiết lộ lỗ hổng này nhiều tháng trước và đã cảnh báo về nó, nhưng lỗi, do tác động của nó dường như vô hại, vẫn chưa được giải quyết.

Lỗi gây ra lỗi làm tròn phân phối nhiều mã thông báo hơn số mã được người dùng gửi vào hợp đồng. Tuy nhiên, lỗi này không thể khai thác được nếu không có một cuộc tấn công có tổ chức nhắm trực tiếp vào lỗ hổng. Neodyme, nhóm kiểm toán, đã quản lý để tái tạo nó và tạo ra một tập lệnh tận dụng nó.

Tầm quan trọng của nguồn mở​

Hơn 2 tỷ đô la trong một số mã thông báo trên các giao thức này có nguy cơ bị cạn kiệt từ từ khi lợi dụng việc khai thác này. Hơn thế nữa, nếu cuộc tấn công được tiến hành một cách thông minh, thì cuộc tấn công sẽ không kích hoạt bất kỳ cảnh báo nào và sẽ chỉ bị phát hiện là APY cạn kiệt chậm trong một số nhóm. Neodyme đã nhận xét về tầm quan trọng của mã nguồn mở đối với các kiểm toán viên để tham gia và giúp sửa những loại lỗi này. Nó tuyên bố:

Chúng tôi tin rằng mã an toàn nhất là mã nguồn mở và với tư cách là những người kiểm tra, chúng tôi tin rằng một trong những cách tốt nhất để viết mã tốt hơn là hiểu các lỗ hổng.

Sau khi phát hiện ra sự khai thác này, Neodyme đã chia sẻ sự tồn tại của nó với các nhóm có thể sẽ sử dụng chương trình như một công cụ cho hoạt động của họ. Trong số này có một số giao thức không phải là mã nguồn mở trên chuỗi Solana và không thể được xác minh trực tiếp bởi người dùng của họ. Điều này khiến họ khó xác minh trực tiếp xem các nền tảng này có thể bị khai thác bởi lỗi hay không. Tuy nhiên, họ đã liên lạc với các nhóm đằng sau các giao thức này, những người chịu trách nhiệm khắc phục sự cố một cách riêng lẻ.

Hợp đồng cho vay mã thông báo SPL đã được xem xét trước đó và hai dự án sử dụng nó cũng đã được kiểm toán độc lập: Solend của Kudelski và Larix của Slowmist.