Solana惊现可从各Defi项目不断领钱的26亿美元漏洞

安全研究团队Neodyme 12月3日发布官方声明表示，发现了Solana协议库中有关借贷合约的严重漏洞，该漏洞允许攻击者每小时窃走2,700万美元，相当于每分钟一台兰博基尼Huracán，目前Larix、Solana Labs、Solend和Tulip等已经修补完毕。

价值数十亿美元的漏洞

Neodyme表示，他们最近在Solana Program Library（SPL）中发现了一个漏洞，该漏洞允许用户向协议提领资金时“四舍五入”到最接近整数，这只有在误差的单位为Lamport（类似比特币的Satoshi）时会发生，在通常的情况下这会让部分的用户损失部分差额（多拿或少拿皆然），大致平衡。

然而，对有心人而言，这小小的差额就是庞大的获利机会。Neodyme在Solana区块链的副本上进行攻击验证，结果成功在单次交易“多拿”了0.000001BTC（约0.047美元）。

据Neodyme估计，若真有心要大幅获利，可以在单笔交易中执行300次这个漏洞，若再将许多交易一次包在同个区块内，则“多拿”的状况可以来到每秒7,500美元或每小时2,700万美元的程度，这相当于每分钟可以赚到一台兰博基尼Huracán。

攻击验证过程。 （Source：Neodyme）

急通知项目修补

Neodyme发现该漏洞遍及Solana上的数个DeFi项目，包含Larix、Solend、Tulip、Accumen、Soda等共8个借贷项目可能暴露在风险其中，总计受影响的TVL高达26亿美元。

Neodyme立刻通过Telegram、Discord、Twitter、电子邮件等渠道与项目方联系，结果发现Soda、Acumen、Port三个项目早已修补漏洞、或是尚未展开借贷服务所以不受影响。收益聚合器Tulip、借贷协议Solend和Larix则立刻采取行动，防止从协议取出的资金可以大于存入。

值得注意的是，该漏洞早在2021年6月5日便由Neodyme的研究员Simon在Github上公开，但由于相对可以“多拿”的资金，手续费更为高昂，缺乏攻击效益下导致该漏洞修补未被重视。但若将盗领币种换为比特币等高价位代币，则不法获利便能盖过手续费，12月1日Simon见该漏洞仍未被修补，Neodyme团队方展开攻击验证。

Neodyme对此指出：

就算四舍五入丢失一枚代币看似无害，但这也应该被视为严重漏洞，

因为你永远不知道该代币在未来可能值多少钱。

目前攻击行为很难被侦测到，因为攻击过程很缓慢、可以拉到数天以上，顶多造成APY下降且不会触动人和警报，这使得修补漏洞成为当务之急，Neodyme建议项目方可以把自己加入Solana Explorer的已知密钥列表中，如此便能借由社群的力量检核是否安全，Solana Labs目前已修改开发参考文件，确保该漏洞不会出现于往后新诞生的项目中。