安全研究團隊 Neodyme 12 月 3 日在推特公布可於每小時「超領」 2,700 萬美元、相當每分鐘偷走一台藍寶堅尼 Huracan 的借貸協議漏洞,威脅的資金超過 26 億美元。目前被通知曝險的項目皆已完成修補,Solana Labs 也很乾脆地修改開發參考文件,確保同個漏洞不會再度出現於新項目上。
(前情提要:派盾爆料 : BitMart 交易所熱錢包遭駭、損失 1.5 億美元!官方稱假消息後承認)
(事件背景:啾啾鞋自白!領NFT空投遭假Metamask釣魚,錢包資產3分鐘被盜領一空)
安全研究團隊 Neodyme 12 月 3 日發布官方聲明表示,發現了 Solana 協議庫中有關借貸合約的嚴重漏洞,該漏洞允許攻擊者每小時竊走 2,700 萬美元,相當於每分鐘一台藍寶堅尼 Huracan,目前 Larix、Solana Labs、Solend 和 Tulip 等已經修補完畢。
價值數十億美元的漏洞
Neodyme 表示,他們最近在 Solana Program Library(SPL)中發現了一個漏洞,該漏洞允許使用者向協議提領資金時「四捨五入」到最接近整數,這只有在誤差的單位為 Lamport(類似比特幣的 Satoshi)時會發生,在通常的情況下這會讓部分的用戶損失部分差額(多拿或少拿皆然),大致平衡。
然而,對有心人而言,這小小的差額就是龐大的獲利機會。Neodyme 在 Solana 區塊鏈的副本上進行攻擊驗證,結果成功在單次交易「多拿」了 0.000001BTC(約 0.047 美元)。
據 Neodyme 估計,若真有心要大幅獲利,可以在單筆交易中執行 300 次這個漏洞,若再將許多交易一次包在同個區塊內,則「多拿」的狀況可以來到每秒 7,500 美元或每小時 2,700 萬美元的程度,這相當於每分鐘可以賺到一台藍寶堅尼 Huracan。
延伸閱讀:Cream Finance第三度遭閃電貸攻擊、損失 1.3 億美元,駭客留下神秘訊息
急通知項目修補
Neodyme 發現該漏洞遍及 Solana 上的數個 DeFi 項目,包含 Larix、Solend、Tulip、Accumen、Soda 等共八個借貸項目可能暴露在風險當中,總計受影響的 TVL 高達 26 億美元。
Neodyme 立刻透過 Telegram、Discord、Twitter、電子郵件等管道與項目方聯繫,結果發現 Soda、Acumen、Port 三個項目早已修補漏洞、或是尚未展開借貸服務所以不受影響。收益聚合器 Tulip 、借貸協議 Solend 和 Larix 則立刻採取行動,防止從協議取出的資金可以大於存入。
延伸閱讀:以太坊 2.0|企業家精神受讚,質押協議 StakeWise 及時通報競爭對手修復漏洞
值得注意的是,該漏洞早在 2021 年 6 月 5 日便由 Neodyme 的研究員 Simon 在 Github 上公開,但由於相對可以「多拿」的資金,手續費更為高昂,缺乏攻擊效益下導致該漏洞修補未被重視。但若將盜領幣種換為比特幣等高價位代幣,則不法獲利便能蓋過手續費,12 月 1 日 Simon 見該漏洞仍未被修補,Neodyme 團隊方展開攻擊驗證。
Neodyme 對此指出:
就算四捨五入丟失一枚代幣看似無害,但這也應該被視為嚴重漏洞,
因為你永遠不知道該代幣在未來可能值多少錢。
目前攻擊行為很難被偵測到,因為攻擊過程很緩慢、可以拉到數天以上,頂多造成 APY 下降且不會觸動人和警報,這使得修補漏洞成為當務之急,Neodyme 建議項目方可以把自己加入 Solana Explorer 的已知密鑰列表中,如此便能藉由社群的力量檢核是否安全,Solana Labs 目前已修改開發參考文件,確保該漏洞不會出現於往後新誕生的項目中。
相關報導
Celsius執行長證實在BadgerDao駭客攻擊中虧損,傳遭盜5,100萬鎂BTC
5小時拯救3.5億美元!Sushi MISO現漏洞,白帽駭客保住BitDAO籌得資金
心路歷程》Poly Network駭客12條問答:好玩、跨鏈攻擊痕紅、責任揭露項目漏洞!
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
