Loading...

每分钟可偷一辆蓝宝坚尼!Solana惊现可从各Defi项目,不断领钱的26亿美元漏洞



安全研究团队 Neodyme 12 月 3 日在推特公布可于每小时超领 2700 万美元、相当每分钟偷走一台蓝宝坚尼 Huracan 的借贷协议漏洞,威胁的资金超过 26 亿美元。目前被通知曝险的项目皆已完成修补,Solana Labs 也很干脆地修改开发参考文件,确保同个漏洞不会再度出现于新项目上。前情提要:派盾爆料 BitMart 交易所热钱包遭骇、损失 15 亿美元!官方称假消息后承认事件背景:啾啾鞋自白!领NFT空投遭假Metamask钓鱼,钱包资产3分钟被盗领一空

安全研究团队 Neodyme 12 月 3 日发布官方声明表示,发现了 Solana 协议库中有关借贷合约的严重漏洞,该漏洞允许攻击者每小时窃走 2700 万美元,相当于每分钟一台蓝宝坚尼 Huracan,目前 Larix、Solana Labs、Solend 和 Tulip 等已经修补完毕。

价值数十亿美元的漏洞

Neodyme 表示,他们最近在 Solana Program LibrarySPL中发现了一个漏洞,该漏洞允许使用者向协议提领资金时四舍五入到最接近整数,这只有在误差的单位为 Lamport类似比特币的 Satoshi时会发生,在通常的情况下这会让部分的用户损失部分差额多拿或少拿皆然,大致平衡。

然而,对有心人而言,这小小的差额就是庞大的获利机会。Neodyme 在 Solana 区块链的副本上进行攻击验证,结果成功在单次交易多拿了 0000001BTC约 0047 美元。

据 Neodyme 估计,若真有心要大幅获利,可以在单笔交易中执行 300 次这个漏洞,若再将许多交易一次包在同个区块内,则多拿的状况可以来到每秒 7500 美元或每小时 2700 万美元的程度,这相当于每分钟可以赚到一台蓝宝坚尼 Huracan。

binance网页版

每分钟可偷一辆蓝宝坚尼!Solana惊现可从各Defi项目,不断领钱的26亿美元漏洞

Binance数字货币交易所为用户提供一流的交易服务,保障交易安全,支持全球用户高效投资加密货币市场。