现在已修复，Solana 协议库错误可能会使 26 亿美元面临被盗风险

Rug pulls 和网络攻击在加密货币行业中占据了主导地位，这是有充分理由的。 由于此类黑客攻击，DeFi 应用程序现在总共损失了超过 20 亿美元。 仅本周最新的一项就达到了 1.2 亿美元。

此外，据 Neodyme 的安全研究人员称，如果没有检测到最近纠正的错误，Solana 生态系统可能还会损失数十亿美元。

在最近的一篇博客文章中，研究人员透露 Solana 协议库 (SPL) 中的一个错误可能允许攻击者以每小时 2700 万美元的速度从多个 Solana 项目中窃取资金。 风险总价值高达 26 亿美元。 SPL 是一套 Solana 项目的参考文档。

可能受到影响的潜在目标包括收益聚合器 Tulip Protocol 和借贷协议 Solend、Soda 和 Larix，它们都拥有数百万美元的 TVL。

这一切都始于今年 6 月，当时一位名叫 Simon 的研究人员最初发现了这个错误，并在 Github 上提出了一个问题。 由于当时该错误似乎并未构成直接风险，因此在很大程度上没有引起人们的注意。 然而，当研究人员在 12 月 1 日再次审查该问题时，发现该问题并未得到解决或修复。

研究人员随后开始测试利用该漏洞的可能性并评估它可能造成的潜在损害。 虽然它最初被视为“看似无害的舍入错误”，但后来意识到它有可能通过无休止的微小交易窃取大量资金。

这是因为 Solana 上使用 SPL 参考文件的那些应用程序在提款时将资金四舍五入到最接近的整数，以防用户欠最小参考单位的一小部分。 这将导致用户收到或丢失其资金的一小部分。 虽然孤立起来看起来微不足道，但如果被一个实体吸走，同样可以成为一笔财富。

经过测试，研究人员估计他们可以在单笔交易中执行 150-200 次这个错误，并将其中的许多交易放在一个区块中。 他们认为这种漏洞可以以每秒 7,500 美元或每小时 2,700 万美元的速度窃取资金。

一旦确认存在漏洞利用的可能性，Neodyme 就联系了多个可能受该漏洞影响的 Solana 项目。 由于其中大多数都是封闭的，因此该任务确实存在相当多的障碍。 但是，他们确实设法联系了一些修复了该错误的著名项目，而 Solana Labs 还修复了参考文档，以确保遵循 SPL 的新项目不会重新引入该错误。

—-

原文链接：https://ambcrypto.com/now-fixed-solana-protocol-library-bug-had-potential-to-expose-2-6-billion-to-risk-of-theft

原文作者：Anjali Jain

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。