Un bogue dans la Solana Protocol Library (SPL), un ensemble de documents de référence pour les projets de l'échange, aurait pu permettre aux attaquants du système de voler de l'argent à plusieurs projets Solana, une perte estimée à 27 millions de dollars par heure, selon les chercheurs en sécurité de Neodyme.
Les projets concernés comprennent le Tulip Yield Pooling Protocol et les protocoles de prêt Solend et Larix. Ces projets recherchent actuellement 1,7 milliard de dollars de fonds.
Dans un publication, Neodyme a expliqué que la faute était découvert et publié par l'un des auditeurs de la société de sécurité, intitulé Simon, sur la plateforme de partage de fichiers GitHub en juin dernier. À l'époque, les chercheurs en sécurité ne savaient pas si les utilisateurs pourraient tirer parti de ce bogue ou quel serait son impact sur la plate-forme. Le défaut est donc passé inaperçu.
Puis, le 1er décembre, Simon a vu que le problème était toujours ouvert et que le bug n'avait pas été corrigé. Les chercheurs en sécurité de Neodyme ont ensuite commencé à tester pour voir s'il était possible d'exploiter le bogue et d'évaluer sa gravité. Le bogue était une "erreur d'arrondi apparemment inoffensive" selon Neodyme, mais ils ont découvert qu'il avait le potentiel de voler une fortune.
Le montant final qui peut avoir été confisqué est une question incertaine, car on ne sait toujours pas combien de temps ce type d'exploitation peut durer.l'air se produisant depuis qu'il a été remarqué. Cela dépendrait de la capacité des attaquants, mais les chercheurs savaient qu'il y avait plus d'un milliard de dollars en danger.
Depuis, les chercheurs ont contacté plusieurs projets hébergés par Solana qui, selon eux, ont été touchés par ce bug. Combien de projets Solana sont source fermée, c'était un travail plus difficile à identifier, mais ils ont réussi à entrer en contact et ont corrigé le bogue.
Depuis la sortie du bogue, Solana a également corrigé plusieurs documents de référence pour s'assurer que les nouveaux projets suivant ses instructions ne souffrent pas de nouvelles défaillances du système.