jeudi, avril 18, 2024

ThePressFree

Blog d'actualité

Crypto monnaie 

Le bogue de la bibliothèque de protocoles Solana, désormais corrigé, pouvait potentiellement exposer 2,6 milliards de dollars à un risque de vol. – KogoCrypto

ThePressFree Aucun commentaire


3 539 vues au total

Pour une bonne raison, les tirages de tapis et les exploits de réseau ont dominé une grande partie du buzz de l’industrie de la crypto-monnaie. À la suite de ces piratages, les applications DeFi ont maintenant perdu plus de 2 milliards de dollars au total. Le plus récent cette semaine seulement valait 120 millions de dollars.

Selon les chercheurs en sécurité de Neodyme, des milliards d’autres auraient pu être perdus dans l’écosystème Solana si un bogue récemment corrigé n’avait pas été détecté.

Dans un récent article de blog, les chercheurs ont révélé qu’un bogue dans la bibliothèque de protocoles Solana (SPL) aurait pu permettre à des attaquants de voler de l’argent à plusieurs projets Solana à un taux de 27 millions de dollars de l’heure. La valeur totale à risque s’élevait à 2,6 milliards de dollars. SPL est un ensemble de documents de référence pour les projets Solana.

Les cibles potentielles qui auraient pu être affectées incluent l’agrégateur de rendement Tulip Protocol et les protocoles de prêt Solend, Soda et Larix, qui ont tous des millions de dollars en TVL.

Tout a commencé en juin de cette année, lorsqu’un chercheur nommé Simon a découvert le bogue et l’a signalé à Github. Parce que le bogue ne semblait pas poser de risque immédiat à l’époque, il est passé largement inaperçu. Cependant, lorsque le chercheur a réexaminé le problème le 1er décembre, il a découvert qu’il n’avait pas été abordé ou résolu.

Les chercheurs ont ensuite commencé à expérimenter l’exploitation du bogue et à estimer les dommages potentiels qu’il pourrait causer. Alors qu’on pensait initialement qu’il s’agissait d’une « erreur d’arrondi apparemment inoffensive », il a été découvert plus tard qu’il avait le potentiel de voler une grosse somme grâce à un nombre infini de petites transactions.

En effet, les applications sur Solana qui utilisent les documents de référence SPL arrondissent les fonds au nombre entier le plus proche au moment des retraits, au cas où l’utilisateur se verrait rembourser une fraction de la plus petite unité de référence. Cela entraînerait que les utilisateurs reçoivent ou perdent de très petites fractions de leurs fonds. Bien que cela semble insignifiant isolément, la même chose pourrait représenter une fortune si elle était siphonnée par une seule entité.

Les chercheurs ont estimé qu’ils pouvaient exécuter ce bogue 150 à 200 fois en une seule transaction et mettre bon nombre de ces transactions dans un seul bloc après les tests. Ils ont calculé qu’un exploit similaire pourrait voler de l’argent à un taux de 7 500 $ par seconde, soit 27 millions de dollars par heure.

Lorsque la possibilité d’un exploit a été confirmée, Neodyme a contacté un certain nombre de projets Solana qui auraient pu être impactés par le bogue. Étant donné que la majorité d’entre eux sont d’origine locale, la tâche a présenté certains défis. Cependant, ils ont contacté certains projets importants qui ont corrigé le bogue, et Solana Labs a également corrigé les documents de référence pour s’assurer que les nouveaux projets basés sur le SPL ne réintroduisent pas le bogue.

Laisser un commentaire