Güvenlik denetim odaklı bir ekip olan Neodyme’den araştırmacılar, Solana’nın kod tabanında kritik bir güvenlik açığı fark ettiler. Şirket son blog gönderilerinde Solana (SOL) ekosistemine entegre “pahalı” tokenlar için karlı olabilecek bir saldırının tasarımını paylaştı.
We recently discovered a critical bug in the token-lending contract of the solana-program-library (SPL). This blog post details our journey from discovery, through exploitation and coordinated disclosure, and finally the fix.
— Neodyme (@Neodyme) December 3, 2021
Neodyme’de paylaşılan duyuruya göre, üyeler Solana Program Kitaplığı’nın token ödünç verme sözleşmesinde bir hata fark ettiler. Bu nedenle, çok sayıda Solana tabanlı DeFi protokolü etkilendi.
Risk altındaki toplam değer (TVL) 2.6 milyar doların üzerinde. Varsayımsal saldırının tasarımı ise şu şekildeydi;
“n adet kesirli token yatırırken, bir kullanıcı n+1 kesirli token çekebilir. Bu işlemin saniyede yaklaşık 300 kez olması durumunda, saniyede 7500 dolar veya saatte yaklaşık 27 milyon dolar çalmasını sağlayabiliriz.”
Solana’nın Ana Kod Tabanında da Hata Çözüldü
2-4 Aralık tarihlerinde Neodyme’in temsilcileri, Larix, Solend, Tulip, Accumen ve benzeri gibi Solana ile ilgili bir merkeziyetsiz finans protokolü (DeFi) ile temasa geçti.
Tüm ekipler mimarilerindeki hataları düzeltti. Yazılım mühendisi Jordan Audet Sexton, GitHub’da sorunun Solana’nın ana kod tabanında da çözüldüğünü paylaştı.