Um bug na Solana Protocol Library (SPL), um conjunto de documentos de referência para os projetos da exchange, pode ter permitido a invasores do sistemas que roubasse dinheiro de vários projetos da Solana, perda estimada em US$ 27 milhões por hora, de acordo com pesquisadores de segurança da Neodyme.
Os projetos afetados incluem o protocolo de agrupamento de rendimento Tulip e os protocolos de empréstimo Solend e Larix. Esses projetos atualmente buscam US$ 1,7 bilhão em fundos.
Em uma publicação, a Neodyme explicou que a falha foi descoberta e publicada por um dos auditores da empresa de segurança, intitulado Simon, na plataforma de compartilhamento de arquivos GitHub, no último mês de junho. Na época, os pesquisadores de segurança não sabiam se poderiam se usuários se aproveitar desse bug ou qual seria seu impacto na plataforma. Então, a falha passou despercebida.
Foi então que, em 1º de dezembro, Simon viu que o problema ainda estava aberto e o bug não havia sido corrigido. Os pesquisadores de segurança da Neodyme então começaram os testes para ver se era possível explorar o bug e avaliar o quão sério era. O bug era um “erro de arredondamento aparentemente inofensivo”, de acordo com o Neodyme, contudo descobriram que ele tinha o potencial de roubar uma fortuna.
A quantia final que pode ter sido estorquida é uma questão incerta, já que não se tem ainda a certeza de quanto tempo esse tipo de exploração pode estar ocorrendo desde que foi percebido. Isso dependeria da capacidade dos invasores, mas os pesquisadores sabiam que havia mais de um bilhão de dólares em risco.
Desde então, os pesquisadores contataram diversos projetos abrigados pela Solana, que eles creem terem sido afetados por este bug. Como muitos projetos do Solana são de código fechado, foi um trabalho mais difícil identificar, mas conseguiram entrar em contato e consertaram o bug.
Desde que o bug foi divulgado, a Solana também corrigiu vários documentos de referência para garantir que novos projetos seguindo suas instruções não venham a sofrer com novas falhas no sistema.