索拉纳代币借贷合同中的漏洞已修复,超过20亿美元可供利用

安全审计公司Neodyme最近发现并修复了Solana程序库(SPL)代币借出合同中的一个漏洞。该漏洞在几个月前被发现,可能已经影响了几个持有超过20亿美元总价值锁定(TVL)的分散金融协议。他们的团队使用该合同(或其衍生物)确定了可能的协议,并立即披露了错误。

Solana SPL Rounding Bug Puts Funds at Risk

作为Solana程序库(SPL)一部分的一个代币借贷合同中存在一个漏洞,这是一组针对Solana上的Sealevel并行运行时的链上程序,将多个协议的资金置于风险之中。Neodyme是一家安全机构,几个月前就已经披露了这个漏洞并发出了警报,但由于其明显的无害影响,这个漏洞并没有得到解决。

该错误导致舍入错误,该错误传递的令牌比用户存入合同的令牌更多。但是,如果没有直接针对该漏洞的有组织的攻击,则无法利用该漏洞。审计集团Neodyme设法复制了它,并创建了一个利用它的脚本。

Importance of Open Source

利用这一漏洞,这些协议上的多个代币中超过20亿美元有被慢慢耗尽的风险。更重要的是,如果攻击是以一种智能的方式进行的,它不会触发任何警报,只会在一些池中被检测为APY的缓慢排放。Neodyme提到了开源代码对于审计人员的重要性,以帮助他们纠正这些错误。它说:

我们相信最安全的代码是开源的,作为审计人员,我们相信编写更好代码的最佳方法之一就是了解漏洞。

在发现这一漏洞后,Neodyme与可能使用该程序作为操作工具的团队分享了它的存在。其中有一些协议在Solana链上不是开源的,不能由用户直接验证。这使得他们很难直接验证这些平台是否可被漏洞利用。但是,他们与这些协议背后的团队进行了沟通,这些团队负责单独解决问题。

SPL代币借贷合同之前已经过审查,使用该合同的两个项目也已经过独立审计:Kudelski的Solend和Slowmist的Larix。

索拉纳代币借贷合同中的漏洞已修复,超过20亿美元可供利用-第1张图片-OKX官网