Đơn vị nghiên cứu bảo mật Neodyme vào sáng ngày 4 tháng 12 tiết lộ họ đã tìm thấy một lỗ hổng giao thức Solana Program Library (SPL), thứ mà có thể ảnh hưởng đến 2,6 tỷ đô la giá trị khóa lại (TVL) của các dự án đang vận hành trên Solana.
Theo Neodyme, lỗ hổng này xuất phát từ cách lập trình làm tròn số của Solana Program Librabry, khiến người dùng có thể nạp rút qua lại giữa các token SPL và ctoken SPL đại diện cho số tiền đã staking trong một dự án bất kỳ. Lỗ hổng đã tồn tại trong thư viện SPL từ ngày 5/6/2021 và đã được chỉ ra, song các lập trình viên cho rằng phương thức tấn công ấy là không khả thi khi phải mất một số tiền giao dịch lớn trong khi lượng token rút ra được là vô cùng nhỏ.
Tuy nhiên, Neodyme đã chạy thử giả định của họ và phát hiện ra nếu đủ kiên nhẫn, kẻ tấn công có thể dễ dàng và âm thầm kiếm lời từ lỗ hổng mà khó có thể bị phát hiện.
Vì nhiều dự án trên Solana đã sử dụng lại Solana Program Library trong bộ mã để chạy ứng dụng mà không kiểm tra, do đó lỗ hổng trên tồn tại độc lập. Qua việc kiểm tra kỹ càng, Neodyme đã xác định được 8 dự án đang chứa lỗi trên, gồm Solend, Tulip, Larix, Port, Acumen, Soda, Jet và Apricot. Tổng lại, các dự án này đang quản lý khối tài sản TVL lên đến 2,6 tỷ đô la la tính vào đầu tháng 12.
Neodyme sau đó đã liên hệ cả nhóm phát triển Solana và các dự án để yêu cầu vá lỗ hổng và tính đến ngày 3 tháng 12, lỗi trên đã được khắc phục thành công. Toàn bộ sự việc đã được nhận diên và vá chỉ trong vòng 3 ngày, từ 1 đến 3 tháng12. Neodyme sau đó đã công bố toàn bộ các phát hiện của họ cho cộng đồng.
GócTiềnẢo
Mua bán tiền điện tử uy tín và an toàn bằng vnd tại đây.
Tham gia thảo luận cùng GTA team tại:
Website | Facebook | Fanpage | Twitter | Trading | Research | Youtube
