Баг в библиотеке программ протокола Solana (SPL) потенциально могла дать хакерам шанс украсть у нескольких крупных DeFi-проектов средства со скоростью примерно $27 млн в час. Об этом сообщают специалисты из команды Neodyme.
We recently discovered a critical bug in the token-lending contract of the solana-program-library (SPL). This blog post details our journey from discovery, through exploitation and coordinated disclosure, and finally the fix.
— Neodyme (@Neodyme) December 3, 2021
Потенциально понести потери могли агрегатор доходности Tulip Protocol, а также протоколы кредитования Solend и Larix. На пике совокупная TVL этих проектов достигала $2,6 млрд.
Эту проблему заблаговременно обнаружилодин из аудиторов группы под ником Simon еще в июне. 1 декабря он обнаружил, что уязвимость не исправлена. Как предположили в Neodyme, возможно, ее посчитали безобидной.
Но эксперты обнаружили, что баг позволяет быстро украсть «сотни миллионов долларов» через крошечные суммы.
Эксперты уже сообщили Solana Foundation и всем проектами, затронутыми, по их мнению, уязвимостью. В некоторых случаях предположения оказались ошибочными, а в Port Finance проблему самостоятельно устранили несколько месяцев назад.
