خطر هک شدن برخی از پروژه‌ها در اکوسیستم سولانا

خطر هک شدن برخی از پروژه‌ها در اکوسیستم سولانا

راگ‌ پول‌ها (Rug pulls) اخیرا در صنعت کریپتو توجه زیادی را به خود جلب کرده‌اند. اپلیکیشن‌های حوزه DeFi در حال حاضر حدود 2 میلیارد دلار از سرمایه‌های خود را به دلیل هک شدن از دست داده‌اند. آخرین هکی که اتفاق افتاد موجب از دست رفتن سرمایه به ارزش 120 میلیون دلار شد. به گفته یک محقق امنیتی، Neodyme، اگر اشکالی که اخیرا در اکوسیستم سولانا پیدا شده برطرف نگردد منجر به دزدیده شدن میلیاردها دلار شود.

اشکال شناسایی شده

در یک پست وبلاگی که اخیرا منتشر شده، محققان نشان دادند که; در سولانا یک اشکال (Bug) امنیتی در کتابخانه پروتکلی سولانا (SPL) پیدا شده است که; می‌تواند منجر به دزدیده شدن دارایی‌ها با سرعت 27 میلیون دلار در ساعت از این اکوسیستم شود.

پروژه‌هایی که می‌توانند هدف قرار گیرند در حوزه‌های جمع‌آوری بازده (yield aggregator) مانند تولیپ پروتکل (Tulip Protocol); و پروتکل‌های وام‌دهی مانند Solend، Soda و Larix باشد که تمام آن‌ها میلیون‎‌ها دلار ارزش دارایی‌ قفل شده دارند.

تمام این قضایا در ماه ژوئن میلادی توسط محققی به نام سایمون (Simon) شروع شد. او این اشکال امنیتی را کشف کرد و در سایت Github منتشر نمود. در همین زمان به نظر می‌رسید که اشکال پیدا شده خطر آنی ندارد. و به همین دلیل مورد توجه قرار نگرفت. پس از آن در 1 دسامبر دوباره این اشکال بررسی شد; و او متوجه شد که به این مشکل هیچ توجهی نشده است.

پس از آن محققان به بررسی احتمالاتی پرداختند که این اشکال امنیتی می‌تواند منجر به سواستفاده‌ها از شبکه سولانا شود. در حالی که در ابتدا این اشکال به نظر کم خطر می‌رسید; اما بعد از آن محققان متوجه شدند که این باگ می‌تواند منجر به هک شدن بخش زیادی از ارزش سرمایه‌های قفل شده شود.

این باگ به این دلیل است که آن دسته از اپلیکیشن‌هایی که از اسناد مرجع SPL استفاده می‌کنند; در حالتی که کاربر بخشی از کوچکترین واحد را بدهکار است سرمایه‌ها را در زمان برداشت به نزدیک‌ترین عدد گرد می‌کنند. در این حالت کاربرانی پدید می‌آیند که بخش بسیار کوچکی از سرمایه خود را دریافت یا از دست می‌دهند. اگرچه این موضوع اصلا مهم به نظر نمی‌رسد; اما یک هکر می‌تواند بخش زیادی از دارایی را در مدت زمان مشخص از این اکوسیستم خارج کند.

خطر احتمالی آن در مقیاس بزرگتر

با توجه به تحقیقات انجام شده، محققان پیش بینی کرده‌اند که این اشکال می‌تواند در حدود 150 تا 200 بار در یک تراکنش اتفاق بیفتد. و مشابه این تراکنش‌ها در یک بلاک قرار داده شود. آن‌ها متوجه شدند که این سواستفاده می‌تواند منجر به دزدیده شدن سرمایه کاربران با سرعت 7،500 دلار بر ثانیه یا به عبارتی 27 میلیون دلار در ساعت شود.

زمانی که این باگ شناسایی شد، Neodyme با پروژه‌های مختلفی که می‌توانند تحت تاثیر این اتفاق قرار بگیرند تماس گرفت. به دلیل این که این پروژه‌ها منبع بسته (Close source) هستند، این موضوع تا حدودی که عادلانه باشد منتشر شد. اما آن‌ها در حال تلاش برای تماس با پروژه‌های اصلی هستند که این اشکال امنیتی را برطرف کنند. لازم به ذکر است آزمایشگاه سولانا اسناد مرجع را اصلاح کرده تا مطمئن شود پروژه‌های جدیدی که از SPL پیروی می‌کنند دچار این اشکال نشوند.

برای اطلاع از اخبار روز و اتفاقاتی که موجب ریزش یا صعود بازار می‌شوند وبلاگ خبری ارزینجا را دنبال کنید.