Maintenant corrigé, le bogue de la bibliothèque de protocoles Solana pouvait potentiellement exposer 2,6 milliards de dollars à un risque de vol

Les tirages de tapis et les exploits de réseau ont dominé une grande partie du buzz au sein de l’industrie de la crypto-monnaie, et pour une bonne raison. Les applications DeFi ont maintenant perdu plus de 2 milliards de dollars au total en raison de ces piratages. Le dernier de cette semaine a représenté à lui seul 120 millions de dollars.

De plus, des milliards de plus auraient pu être perdus dans l’écosystème Solana si un bogue récemment rectifié n’avait pas été détecté, selon les chercheurs en sécurité de Neodyme. .

Dans un récent article de blog, les chercheurs ont révélé qu’un bogue dans la bibliothèque de protocoles Solana (SPL) aurait pu permettre à des attaquants de voler de l’argent à plusieurs projets Solana pour un montant de 27 millions de dollars. une heure. La valeur totale à risque s’élevait à 2,6 milliards de dollars. SPL est un ensemble de documents de référence pour les projets Solana.

Les cibles potentielles qui auraient pu être affectées comprennent l’agrégateur de rendement Tulip Protocol et les protocoles de prêt Solend, Soda et Larix, qui ont tous des millions de dollars en TVL.

Tout a commencé en juin de cette année lorsqu’un chercheur nommé Simon a d’abord repéré le bogue et a soulevé un problème sur Github. Comme à l’époque le bug ne semblait pas poser de risque immédiat, il est passé largement inaperçu. Cependant, lorsque le problème a été réexaminé par le chercheur le 1er décembre, il a été constaté qu’il n’avait pas été résolu ou corrigé.

Les chercheurs ont alors commencé à tester les possibilités d’exploiter le bogue et pour évaluer les dommages potentiels qu’il pourrait causer. Alors qu’il était initialement considéré comme une “erreur d’arrondi apparemment inoffensive”, on s’est rendu compte plus tard qu’il avait le potentiel de voler une grande quantité grâce à de minuscules transactions sans fin.

C’est parce que ces applications sur Solana qui utilise les documents de référence SPL arrondit les fonds au nombre entier le plus proche au point de retrait, au cas où l’utilisateur se verrait devoir une fraction de la plus petite unité de référence. Cela entraînerait que les utilisateurs reçoivent ou perdent de très petites fractions de leurs fonds. Bien que cela semble insignifiant isolément, la même chose pourrait représenter une fortune si elle était siphonnée par une seule entité.

Lors des tests, les chercheurs ont estimé qu’ils pourraient exécuter ce bogue 150 à 200 fois en une seule fois. transaction et mettre plusieurs de ces transactions dans un seul bloc. Ils ont pensé qu’un tel exploit pourrait voler des fonds à un taux de 7 500 $ par seconde, soit 27 millions de dollars de l’heure.

Une fois le potentiel d’exploit confirmé, Neodyme a contacté plusieurs projets Solana qui auraient pu été affecté par le bogue. Étant donné que la plupart d’entre eux proviennent de sources proches, la tâche est venue avec sa juste part d’obstacles. Cependant, ils ont réussi à contacter certains projets importants qui ont corrigé le bogue, tandis que Solana Labs a également corrigé les documents de référence pour s’assurer que les nouveaux projets suivant le SPL ne réintroduiraient pas le bogue.