万事大吉——不幸的是,去中心化金融 (DeFi) 生态系统充斥着漏洞和其他缺陷。 2021 年就是一个完美的例子,从 DeFi 协议中窃取了超过 105 亿美元。 幸运的是,在大多数情况下,这些漏洞在被利用之前就被发现了。
Spl-token-lending:一个隐藏的错误
在几个月的时间里,Solana 网络(SOL)已成为 DeFi 生态系统中必不可少的地方。 它目前在 TVL 方面在 DeFi 排名中排名第四,通过其协议存入了超过 140 亿美元。
Solana 的 TVL 的演变 – 来源:DefiLlama
但是,如果刚刚发现的漏洞被恶意黑客利用,它就会遭到破坏。 这就是 Neodyme 公司刚刚透露的内容,并发布了他们的报告“如何成为百万富翁,一次 0.000001 BTC”。
故事开始于几个月前,当时 Neodymium 的听众之一西蒙发现了 Spl 代币借贷中的一个漏洞。 提醒一下,Spl-token-lending 是一套合约,允许在 Solana 上部署借贷协议,基于 Compound (COMP) 和 Aave (AAVE) 的操作。
具体来说,这些合约使得在协议上存入代币成为可能,以换取代表存款的 c 个代币。 随后,这些 c 个代币可以通过协议返回,以换取初始代币。
但是,c 令牌是复杂的对象。 实际上,除了指存款之外,cTons 还代表给定存款产生的利息。 因此,代币与代币的比率不是 1 比 1。
“Alice 以 1.5 的汇率存入 2 SOL,并收到 2 * 1.5 = 3 cSOL。 经过几年的 HODLing,Solana 到达了火星,Alice 想兑现她升值的 SOL 以购买一些私人岛屿。 她取出 3 个 cSOL 并以 0.5 的汇率兑换它们并收到 3 / 0.5 = 6 个 SOL。 ”
来自 Neodymium 报告的示例
故障详情
事实上,有问题的缺陷影响了 Spl-token-Lending 的功能。 实际上,合约的编码方式是将代币计算四舍五入为整数。 虽然这对像 SOL 这样的代币几乎没有影响,但这种舍入可能会对其他代币产生巨大的影响。
例如,在比特币 (BTC) 或以太 (ETH) 的情况下,这种舍入会导致每笔交易产生 0.005 到 0.05 美元的差异。 乍一看,这个数字似乎并不那么令人印象深刻。 无法想象标题为“索拉纳的 Hecatomb – 被攻击者窃取 0.05 美元”的文章。
然而,这个差距成倍增加会导致巨大的损失。 事实上,Solana 允许你在同一个事务中执行多个操作。 因此,在单笔交易中可以执行 150 到 200 次执行,这可能导致每笔交易产生 7.5 美元的差异,就比特币而言。
“那里,我们在说话 我们可以包括每秒约 300 次交易,每秒飞行 7,500 美元或每小时约 2,700 万美元(或每分钟一辆兰博基尼 Huracan)。 ”
钕比
总的来说,Neodymium 估计大约有 26 亿美元处于风险之中,尽管“只有”几亿美元有足够的现金来运营。 幸运的是,所有受此缺陷影响的项目都已修复它,而没有成为攻击的目标。
不幸的是,并不是每个人都能从这样的机会中受益。 最近,BadgerDAO 协议出现了漏洞。 这一次,攻击者利用协议合约中的一个漏洞成功地榨取了超过 1.2 亿美元。
Solana 上的漏洞 (SOL):数亿美元面临风险的文章首先出现在 Journal du Coin 上。
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。
