이제 수정됨, Solana 프로토콜 라이브러리 버그로 인해 26억 달러가 도난 위험에 노출될 수 있음

러그 풀(Rug pull)과 네트워크 익스플로잇이 암호화폐 산업 내에서 많은 화제를 불러 일으켰고 그럴만한 이유가 있습니다. DeFi 애플리케이션은 이제 20억 달러 이상 손실 그러한 해킹으로 인해 총. NS 최신 이번 주에만 1억 2천만 달러를 차지했습니다.

또한 Neodyme의 보안 연구원에 따르면 최근 수정된 버그가 감지되지 않았다면 Solana 생태계에서 수십억 개 이상의 손실이 발생했을 수 있습니다.

최근에 블로그 게시물, 연구원들은 솔라나 프로토콜 라이브러리(SPL)의 버그로 인해 공격자가 시간당 2,700만 달러의 속도로 여러 솔라나 프로젝트에서 돈을 훔칠 수 있었다고 밝혔습니다. 위험에 처한 총 가치는 최대 26억 달러에 달했습니다. SPL은 다음을 위한 참조 문서 세트입니다. 솔라나 프로젝트.

영향을 받을 수 있는 잠재적인 대상에는 수익 집계업체 Tulip Protocol 및 대출 프로토콜 Solend, Soda 및 Larix가 포함되며 이들 모두는 수백만 달러의 TVL을 보유하고 있습니다.

이 모든 것은 올해 6월 Simon이라는 연구원이 처음에 버그를 발견하고 Github에 문제를 제기하면서 시작되었습니다. 당시 버그가 즉각적인 위험을 초래하지 않는 것 같았기 때문에 대부분 눈에 띄지 않았습니다. 그러나 12월 1일 연구원이 해당 문제를 다시 검토한 결과, 해결되거나 수정되지 않은 것으로 확인됐다.

그런 다음 연구원들은 버그를 악용할 가능성을 테스트하고 이로 인해 발생할 수 있는 잠재적 피해를 측정하기 시작했습니다. 처음에는 “겉보기에 무해한 반올림 오류”로 간주되었지만 끝없는 작은 거래를 통해 많은 금액을 훔칠 가능성이 있음을 나중에 깨달았습니다.

이는 SPL 참조 문서를 사용하는 Solana의 앱이 사용자가 가장 작은 참조 단위의 일부를 빚진 경우에 대비하여 출금 시점에서 자금을 가장 가까운 정수로 반올림하기 때문입니다. 이로 인해 사용자는 자금의 아주 작은 부분을 받거나 잃을 수 있습니다. 따로따로 보면 별 것 아닌 것 같지만, 하나의 개체가 그것을 빼돌리면 큰 재산이 될 수 있습니다.

테스트 시 연구원들은 단일 트랜잭션에서 이 버그를 150-200번 실행할 수 있고 이러한 트랜잭션 중 많은 부분을 단일 블록에 넣을 수 있다고 추정했습니다. 그들은 그러한 악용이 초당 7,500달러 또는 시간당 2,700만 달러의 속도로 자금을 훔칠 수 있다고 생각했습니다.

악용 가능성이 확인된 후 Neodyme은 버그의 영향을 받을 수 있는 여러 Solana 프로젝트에 연락했습니다. 이들 대부분은 가까운 곳에서 조달되기 때문에 이 작업에는 상당한 장애물이 있었습니다. 그러나 그들은 버그를 수정한 몇몇 저명한 프로젝트에 연락할 수 있었고, Solana Labs는 또한 SPL을 따르는 새 프로젝트가 버그를 재도입하지 않도록 참조 문서를 수정했습니다.

이것은 AMBCrypto 영어의 번역입니다.