Ahora solucionado, el error de la biblioteca del protocolo Solana tenía el potencial de exponer $ 2.6 mil millones al riesgo de robo

Los tirones de alfombras y las vulnerabilidades de la red han dominado gran parte del rumor dentro de la industria de las criptomonedas, y por una buena razón. Las aplicaciones DeFi ahora perdió más de $ 2 mil millones en total debido a tales hacks. los el último solo esta semana representó $ 120 millones.

Además, se podrían haber perdido miles de millones más del ecosistema de Solana si no se hubiera detectado un error recientemente rectificado, según los investigadores de seguridad de Neodyme.

En una reciente entrada en el blog, los investigadores revelaron que un error en la Biblioteca del Protocolo de Solana (SPL) podría haber permitido a los atacantes robar dinero de múltiples proyectos de Solana a razón de 27 millones de dólares la hora. El valor total en riesgo ascendió a 2.600 millones de dólares. SPL es un conjunto de documentos de referencia para Solana proyectos.

Los posibles objetivos que podrían haberse visto afectados incluyen el agregador de rendimiento Tulip Protocol y los protocolos de préstamos Solend, Soda y Larix, todos los cuales tienen millones de dólares en TVL.

Todo comenzó en junio de este año cuando un investigador llamado Simon detectó inicialmente el error y planteó un problema en Github. Dado que en ese momento el error no parecía representar un riesgo inmediato, pasó desapercibido en gran medida. Sin embargo, cuando el investigador volvió a revisar el problema el 1 de diciembre, se descubrió que no se había abordado ni solucionado.

Luego, los investigadores comenzaron a probar las posibilidades de explotar el error y evaluar el daño potencial que podría causar. Si bien inicialmente se consideró un «error de redondeo aparentemente inocuo», más tarde se descubrió que tenía el potencial de robar una gran cantidad a través de infinitas transacciones diminutas.

Esto se debe a que las aplicaciones de Solana que utilizan los documentos de referencia SPL redondean los fondos al número entero más cercano en el momento de los retiros, en caso de que al usuario se le adeudara una fracción de la unidad de referencia más pequeña. Esto daría lugar a que los usuarios recibieran o perdieran fracciones muy pequeñas de sus fondos. Aunque parecería insignificante de forma aislada, lo mismo podría equivaler a una fortuna si fuera desviado por una sola entidad.

Tras las pruebas, los investigadores estimaron que podrían ejecutar este error entre 150 y 200 veces en una sola transacción y colocar muchas de estas transacciones en un solo bloque. Pensaron que tal exploit podría robar fondos a una tasa de $ 7500 por segundo, o $ 27 millones por hora.

Una vez que se confirmó el potencial de un exploit, Neodyme se puso en contacto con varios proyectos de Solana que podrían haberse visto afectados por el error. Dado que la mayoría de estos son de origen cercano, la tarea vino con una buena cantidad de obstáculos. Sin embargo, sí lograron ponerse en contacto con algunos proyectos destacados que solucionaron el error, mientras que Solana Labs también corrigió los documentos de referencia para asegurarse de que los nuevos proyectos posteriores al SPL no reintroduzcan el error.

Esta es una traducción automática de nuestra versión en inglés.