خلل في بروتوكول سولانا (SPL) قد تسبب في قيام الهاكرز بسرقة الأموال بمعدل 27 مليون دولار في الساعة

خلل في بروتوكول سولانا (SPL) قد تسبب في قيام الهاكرز بسرقة الأموال بمعدل 27 مليون دولار في الساعة خلل في مكتبة بروتوكول سولانا (SPL) – مجموعة من الوثائق المرجعية لمشاريع سولانا ; يمكن أن يكون قد تسبب في قيام المهاجمين بسرقة الأموال من عدة مشاريع سولانا بمعدل 27 مليون دولار في الساعة ; وفقًا لباحثين أمنيين في Neodyme.

وشملت المشاريع التي تأثرت مجمع العائد توليب بروتوكول وبروتوكولات الإقراض Solend و Larix. تهتم هذه المشاريع حاليًا بأموال بقيمة 1.7 مليار دولار (على الرغم من أن ذلك كان أعلى بكثير قبل انهيار السوق اليوم).

كشف خطأ مليار دولار في منشور مدونة، أوضح Neodyme أنه تم الكشف عن الخطأ لأول مرة من قبل أحد مدققي Neodyme ; المعروف باسم Simon ، على منصة مشاركة الملفات GitHub في يونيو. في ذلك الوقت، لم يكن الباحثون الأمنيون يعرفون ما إذا كانت قابلة للاستغلال أو مدى تأثيرها المحتمل. ذهب الخطأ دون أن يلاحظه أحد.

في 1 كانون الأول (ديسمبر)، رأى سايمون أن المشكلة لا تزال مفتوحة ولم يتم إصلاح الخطأ. بسبب مخاوفه، بدأ الباحثون الأمنيون في Neodyme الاختبار لمعرفة ما إذا كان من الممكن استغلال الخطأ ; وقياس مدى خطورته. وفقًا لنيوديمي، كان الخطأ “خطأ تقريب غير ضار على ما يبدو” ; لكنهم سرعان ما اكتشفوا أن لديه القدرة على سرقة ثروة – في ملايين القطع الصغيرة.

عملت الخلل على النحو التالي. ببساطة، بالنسبة لتطبيقات Solana، هناك آلية لتحديد وقت إدخال الأموال وسحبها. إذا كان البروتوكول يتبع المستندات المرجعية لـ SPL ; فسيتم تقريب الأموال إلى أقرب رقم صحيح عند نقطة السحب. لن يحدث هذا إلا إذا كان المستخدم مدينًا بجزء صغير من أصغر وحدة مرجعية ; والمعروفة باسم Lamport (هذا مشابه لـ satoshi ، أصغر كمية من البيتكوين).

الآن هذا يعمل في كلا الاتجاهين. قد ينتهي الأمر ببعض الأشخاص بجزء إضافي من التوكنز الخاصة بهم. الناس الآخرون سينتهي بهم الأمر بأقل قليلاً مما كانوا مدينين به. لكنه سيكون مبلغًا ضئيلًا لكل شخص، وفي المتوسط سيتساوى تقريبًا.

وتساءل الباحثون، ولكن إذا كان هناك من يتلاعب بالنظام ; فمن المؤكد أنه يمكن أن ينتهي بهم الأمر بأخذ الكميات الزائدة الضئيلة؟ وإذا فعلوا ذلك مرارًا وتكرارًا ; فربما يمكنهم جني مبالغ كبيرة من المال.

اختبر الباحثون نظريتهم عمليًا على نسخة من blockchain. لقد أرسلوا معاملة مصممة لاستغلال الخطأ وتمكنوا من سرقة 0.000001 BTC (0.047 دولارًا) بسبب خطأ التقريب.

200 مرة في المعاملة الواحدة قدر الباحثون أنه يمكنهم تنفيذ هذا الخطأ 150-200 مرة في معاملة واحدة ووضع العديد من هذه المعاملات في كتلة واحدة. لقد توصلوا إلى أن مثل هذا الاستغلال يمكن أن يسرق الأموال بمعدل 7500 دولار في الثانية ; أو 27 مليون دولار في الساعة.

فيما يتعلق بالمبلغ الذي يمكن سرقته إجمالاً ; إنه سؤال مفتوح عن المدة التي يمكن أن يستمر هذا النوع من برمجيات إكسبلويت قبل أن يتم ملاحظتها ووضع الحماية. سيعتمد ذلك على مدى جسامة المهاجمين وما إذا كانوا قد نفذوا الهجوم بسرعة أو ببطء. لكن الباحثين كانوا يعلمون أن هناك أكثر من مليار دولار في خطر.

اتصل الباحثون بسرعة بمشاريع سولانا المتعددة التي اعتقدوا أنها تأثرت بهذا الخطأ. نظرًا لأن العديد من مشاريع Solana مغلقة المصدر ; فقد كانت مهمة أصعب بكثير وقاموا بتحديد مشروعين بشكل خاطئ. لكنهم تمكنوا من الاتصال بـ Solend و Tulip و Larix، والتي قامت جميعها بإصلاح الخطأ.

منذ الكشف عن الخطأ، قامت Solana Labs أيضًا بإصلاح المستندات المرجعية للتأكد من أن المشروعات الجديدة التي تتبع تعليماتها لن تقدمه مرة أخرى.

اطلع على المقالة الأصلية