Помилка в бібліотеці протоколу Solana (SPL), наборі довідкових документів для проектів біржі, могла дозволити системним зловмисникам викрасти гроші з різних проектів Solana, за оцінками дослідників безпеки Neodyme, втрати яких становлять 27 мільйонів доларів на годину.
Проекти, що постраждали, включають протокол об’єднання прибутків Tulip і протоколи позики Solend і Larix. Наразі ці проекти шукають фінансування в розмірі 1,7 мільярда доларів.
В одному видання, Neodyme пояснив, що помилка була виявлено та опубліковано одним із аудиторів охоронної фірми під назвою Simon на платформі обміну файлами GitHub минулого червня. У той час дослідники безпеки не знали, чи зможуть користувачі скористатися перевагами цієї помилки або як вона вплине на платформу. Тож невдача залишилася непоміченою.
Потім, 1 грудня, Саймон побачив, що проблема все ще відкрита і помилку не було виправлено. Потім дослідники безпеки Neodyme почали тестування, щоб перевірити, чи можна використати помилку та оцінити, наскільки вона серйозна. За словами Neodyme, помилка була «здавалося б нешкідливою помилкою округлення», однак вони виявили, що вона може вкрасти статки.
Остаточна сума, яку могли вимагати, є невизначеним питанням, оскільки поки невідомо, як довго може тривати цей вид експлуатаціїповітря, що виникає з моменту, коли його помітили. Це залежатиме від здібностей зловмисників, але дослідники знали, що ризику загрожує понад мільярд доларів.
Відтоді дослідники зв’язалися з кількома проектами, організованими Solana, які, на їхню думку, постраждали від цієї помилки. Як і багато проектів Solana закрите джерело, це було складніше визначити, але їм вдалося зв’язатися та виправити помилку.
Після виходу помилки Solana також виправив кілька довідкових документів, щоб гарантувати, що нові проекти, які слідують його інструкціям, не страждають від нових системних збоїв.