Bug Blockchain Solana (SOL) Dapat Menyebabkan Kerugian Ratusan Juta Dolar

Neodyme adalah tim peneliti keamanan siber, yang terdiri dari para ahli yang berspesialisasi dalam berbagai teknologi, termasuk blockchain dan kontrak pintar. Dalam sebuah pernyataan yang diposting di blognya, Neodymium mengungkapkan bahwa mereka baru-baru ini menemukan kelemahan kritis dalam protokol Solana Program Library (SPL).

Kami mengetahui bahwa bug tersebut awalnya ditemukan Juni lalu oleh seorang peneliti dari tim Neodymium dan dipublikasikan di GitHub . Namun, dia menjelaskan bahwa pada titik ini, tidak mungkin untuk menentukan apakah bug tersebut dapat dieksploitasi. Yang satu ini dengan demikian tidak diperhatikan.

Namun, pada 1 Desember, peneliti yang sama ini menemukan bahwa kesalahan itu masih ada dan tidak ada yang dilakukan untuk memperbaikinya. Selain itu, ini mengancam banyak protokol di ekosistem Solana (SOL), seperti agregator hasil Tulip Protocol dan platform pinjaman Solend dan Larix. Proyek yang saat ini mengelola dana $1,7 miliar .

Oleh karena itu, tim Neodymium melakukan serangkaian tes untuk memverifikasi apakah kelemahan ini dapat dieksploitasi dan mungkin memperbaikinya . Menurut siaran pers, pekerjaan para peneliti dan kontribusi tim dari protokol terkait memungkinkan untuk dengan cepat memperbaiki situasi dan melindungi pengguna. Tapi apa bug ini dan apa yang bisa terjadi?

Dalam siaran pers lainnya, Neodymium menjelaskan cara kerja bug yang mengancam Perpustakaan Program Solana . Sederhananya, ketika Anda menyetor dana pada protokol, nilai aset Anda berubah seiring waktu. Saat menarik, ia dapat memiliki banyak digit setelah titik desimal. Inilah sebabnya mengapa beberapa protokol mengandalkan SPL untuk membulatkan  jumlah yang dikembalikan ke tempat desimal terdekat.

Pertimbangkan unit referensi terkecil di ekosistem Solana. Ini disebut Lamport dan bernilai 0,000000001 SOL (prinsipnya sama dengan satoshi , unit Bitcoin yang lebih kecil). Jika Anda menyetor sejumlah 1,5 Lamport dalam protokol pinjaman maka Anda akan menerima 2 Lamport saat penarikan. Sebaliknya, jika jumlah ini hanya bernilai 1,4 Lamport saat melakukan penarikan, Anda hanya akan menerima 1 Lamport. Rata-rata, ini harus diimbangi dengan menciptakan nilai sebanyak yang dihilangkan.

Namun, para peneliti telah menunjukkan bahwa dengan mengeksploitasi sistem ini dengan sangat cepat, dimungkinkan untuk memulihkan jumlah kecil dengan setiap setoran dan penarikan dana. Dengan mengulangi operasi berkali-kali, jumlah total yang dipulihkan bisa sangat besar.

Dengan menguji teori mereka pada replika blockchain, para ahli Neodymium berhasil mencuri 0,000001 BTC ($ 0,047) . Mereka memperkirakan bahwa mereka dapat menjalankan bug ini 150-200 kali dalam satu transaksi dan menempatkan beberapa transaksi tersebut dalam satu blok. Dengan demikian, strategi semacam itu dapat memungkinkan dana dicuri dengan kecepatan $ 7.500 per detik, atau $27 juta per jam .

Mengenai jumlah total yang bisa dicuri, ini jelas tergantung pada durasi eksploitasi kerentanan sebelum diketahui dan perlindungan diterapkan:

Penelitian oleh tim Neodymium telah mengidentifikasi 6 protokol yang berpotensi terancam oleh kelemahan ini: Larix, Tulip, Port, Solend, Soda, dan Acumen. Nilai total aset yang dikelola, dan dengan demikian terancam, adalah sekitar $1,7 miliar . Tidak semua benar-benar beresiko, Neodymium memperkirakan bahwa potensi keuntungan masih mencapai beberapa ratus juta dolar.