安全审计公司Neodyme最近发现并修复了索拉纳图书馆(SPL)令牌借出合同中的一个漏洞。该漏洞是在几个月前发现的,它可能影响了总价值超过20亿美元(TVL)的几个分散式财务协议。他们的团队使用合同(或其衍生产品)来确定一个可能的协议,并立即披露了错误。
索拉纳SPL舍入错误把基金置于风险之中
作为Solana library (SPL)一部分的token lending合同存在漏洞,Solana是一组旨在Solana上进行海级并行运行时的链式程序,将多个协议的资金置于风险之中。安全组织Neodyme在几个月前就披露了这一漏洞并发出警报,但由于其明显的无害影响,这一漏洞一直没有得到解决。
此错误导致舍入错误,传递的令牌比用户存放在合同中的令牌多。但是,如果没有针对此漏洞的有组织的攻击,它就无法被利用。审计小组Neodyme设法销毁了它,并创建了一个脚本来使用它。
开源的重要性
利用这一漏洞,这些协议中超过20亿美元的代币面临着慢慢耗尽的风险。更重要的是,如果攻击以智能的方式进行,它不会触发任何警报,只会被检测为一些水池中APY的缓慢排放。Neodyme提到了开源代码对于审计人员帮助他们纠正这些错误的重要性。上面写着:
我们相信最安全的代码是开源的。作为审计人员,我们认为编写更好代码的最好方法之一是理解漏洞。
发现这个漏洞后,Neodyme向可能将程序作为操作工具的团队分享了它的存在。其中一些协议在Solana链上不是开源的,不能被用户直接验证。这使得他们很难直接验证这些平台是否可以被利用。然而,他们与这些协议背后的团队进行了沟通,这些团队负责单独解决问题。
SPL代币贷款合同以前已经过审查,使用该合同的两个项目也已经过独立审计:Kudelski的Solend和Slowmist的Larix。
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信(j7hr0a@163.com),我们会及时处理和回复。
原文地址"索拉是什么,索拉ada":http://www.guoyinggangguan.com/qkl/184486.html。
微信扫描二维码关注官方微信
▲长按图片识别二维码
