По данным исследователей безопасности из Neodyme, из-за ошибки в библиотеке протокола Solana (Solana Protocol Library (SPL)) — наборе справочных документов для проектов Solana, злоумышленники могли украсть деньги из нескольких проектов Solana, со скоростью 27 миллионов долларов в час. Затронутые проекты включают агрегатор доходности Tulip Protocol и протоколы кредитования Solend и Larix. В настоящее время на эти проекты приходится 1,7 миллиарда долларов (хотя до сегодняшнего краха рынка это было значительно больше). Обнаружение ошибки на миллиард долларов В своем сообщении в блоге Neodyme объяснил, что ошибка была впервые публично раскрыта одним из аудиторов Neodyme, известным как Simon, на платформе обмена файлами GitHub в июне. В то время исследователи безопасности не знали, можно ли его использовать и насколько велико его влияние. Ошибка осталась незамеченной. 1 декабря Simon увидел, что проблема все еще открыта и ошибка не исправлена. Из-за его опасений исследователи безопасности в Neodyme начали тестирование, чтобы увидеть, можно ли использовать ошибку, и оценить, насколько она серьезна. По словам Neodyme, это была «на первый взгляд безобидная ошибка округления», но они быстро обнаружили, что она может украсть целое состояние — миллионами крошечных кусочков. Баг работал следующим образом. Проще говоря, для приложений Solana есть механизм, когда вы кладете и снимаете средства. Если протокол соответствовал справочным документам SPL, то в момент вывода средства округлялись бы до ближайшего целого числа. Это могло бы произойти только в том случае, если бы пользователю была задолженность по части наименьшей контрольной единицы, известной как Lamport (это похоже на сатоши, наименьшее количество биткойнов). Теперь это работало в обоих направлениях. Некоторые люди в конечном итоге получат дополнительную долю своих жетонов. Другие люди в конечном итоге получат немного меньше, чем им причитается. Но это будет мизерная сумма на человека, и в среднем будет примерно равна.
Источник:
